Søg

Forskere afslører detaljer om 'clickjacking-angreb'

De to sikkerhedsforskere, der for to uger siden advarede om nye såkaldte 'clickjacking'-sårbarheder i browsere, hjemmesider og populære plugins, afslører 12 varianter af den nye bug.

10. oktober 2008 kl. 12.56
Artikel top billede
Gregg Keizer Gregg Keizer

Computerworld News Service: De 12 varianter af den nye bug er er bare en start, siger Robert Hansen, grundlægger og CEO for SecTheory LLC:

"Listen dækker ikke alle typer sårbare plugins, browsere og hjemmesider."

"Listen er blevet så lang på så kort tid, at det er umuligt at holde styr på dem allesammen," tilføjer han.

Robert Hansen afslører flere oplysninger om ‘clickjacking' - den nye type sårbarheder, som han og medforsker Jeremiah Grossman, chief technology officer hos WhiteHat Security, omtalte for første gang under en præsentation ved en sikkerhedskonference i New York 24. september.

Robert Hansen og Jeremiah Grossman havde egentlig tænkt sig at præsentere alle deres resultater ved konferencen, men blev enige om at tilbageholde de fleste oplysninger på opfordring fra Adobe, der hævdede, at det ikke ville tage lang tid at lave en patch mod clickjacking-angreb.

Men i tirsdags udsendte den israelske forsker, Guy Aharonovsky en demonstration, hvor der bruges clickjacking-taktikker til usynligt at nulstille Adobe Systems' privacy-instillinger - Flash - og uden brugerens kendskab tænde computerens webcam og mikrofon med henblik på spionage.

Nu da nyheden var sluppet ud, gav Adobe Robert Hansen og Jeremiah Grossman grønt lys til at komme med flere detaljer om deres opdagelser.

Robert Hansen har udsendt en liste med 12 forskellige clickjacking-scenarier på sin blog.

"Der er mange varianter af clickjacking," skriver Robert Hansen i sit blogindlæg.

Ikke verdens undergang

Af de 12 typer angreb er der kun to, der er blevet løst.

Adobe udsendte tirsdag en sikkerhedsvejledning med instruktioner om, hvordan brugere kan sikre Flash mod hijacking af webcam og mikrofon, når nu er der ikke findes en patch.

"Guy Aharonovskys demonstration var bare et eksempel, men clickjacking kan volde skade på mange forskellige måder," siger Robert Hansen og tilføjer, at der ikke er nogen grund til panik.

"De fleste web-applikationer er sårbare over for angreb, og clickjacking gør det værre. Men det er allerede så slemt, at det ikke har den store betydning," siger Robert Hansen.

"Vi har gjort det meget klart, at vi ikke mener, at det her er verdens undergang," understreger han.

Oversat af Mille Bindslev

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Cyber Security Festival 2025

    Sikkerhed | København

    Cyber Security Festival 2025

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og...

    ERP Insights 2025

    It-løsninger | Online

    ERP Insights 2025

    Få den nyeste viden om værktøjer, der kan optimere hele din virksomhed med udgangspunkt i AI og fleksibilitet.

    Automatisering med Copilot & Agentic AI

    It-løsninger | København Ø

    Automatisering med Copilot & Agentic AI

    Høst viden og erfaringer fra andre om, hvordan Copilot og Agentic AI i praksis kan skabe værdi og fleksibilitet i din organisation.

    Se alle vores events inden for it

    En kaotisk verden kræver stærk cybersikkerhed, resiliens og digital suverænitet

    Mød David Heinemeier, Flemming Splidsboel Hansen, Casper Klynge, Rasmus Knappe, Jens Myrup Pedersen og forfattere som fhv. jægersoldat Thomas Rathsack og adfærdsforsker Henrik Tingleff.

    Computerworld afholder d. 4. og 5. november Cyber Security Festival i København - med fokus på sikkerhed, resiliens og digital suverænitet. Det er helt gratis - men reserver din plads allerede nu.

    Hele programmet er online lige nu - og du kan reservere din gratis plads lige her - jeg håber vi ses! 

    Lars Jacobsen

    Chefredaktør på Computerworld

    Se alle Lars's artikler her

    Danoffice IT

    Forretningskonsulent til ERP- og Procesteamet

    Midtjylland

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    KMD A/S

    Client Manager

    Københavnsområdet

    LB Forsikring

    Digital projektleder til strategiske tiltag og administrativ ledelsesunderstøttelse

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. september 2025 ansat Caroline Harkjær Bach som Business Controller ved netIP's kontor i Thisted. Hun er uddannet med en kandidat i erhvervsøkonomi med speciale i organisation, strategi og ledelse. Nyt job

    Caroline Harkjær Bach

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Ahmed Yasin Mohammed Hassan som Data & AI Consultant. Han kommer fra en stilling som selvstændig gennem de seneste 3 år. Han er uddannet cand. merc. i Business Intelligence fra Aarhus Universitet. Nyt job

    Ahmed Yasin Mohammed Hassan

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Thea Scheuer Gregersen som Finace accountant. Hun skal især beskæftige sig med håndteringer af bl.a. bogføring og finansiel rapportering på tværs af selskaberne. Hun er uddannet Bachelor´s degree i Business Administration & Economics og en Master of Sustainable Business degree. Nyt job

    Thea Scheuer Gregersen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Hans Christian Thisen som AI Consultant. Han skal især beskæftige sig med at bidrage til udvikling og implementering af AI- og automatiseringsløsninger. Nyt job

    Hans Christian Thisen

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Apples hundedyre iPad Pro er den bedste tablet på markedet lige nu
    2 Ny tendens breder sig ved frontlinjen i Ukraine - nu advarer anerkendt it-sikkerhedsekspert: ”Ingen vil bryde sig om det næste skridt"
    3 Nørgaard: Cyberforsvaret – en brølende papirtiger
    4 Sådan trængte hackerne ind og ødelagde Jaguar Land Rover: Det skete der
    5 Kun med tre centrale snit kan et lille, åbent land som Danmark nærme sig digital suverænitet
    6 Sådan er processen: Renser og fikser dine gamle iPhones på bare 12 minutter på stor fabrik i Estland
    7 Nobelprisvindende økonomer giver dig et unikt svar på et globalt spørgsmål
    8 Peter Rafn har netop gennemført bankoverførslen, der gør Trifork Security til en del af Wingmen

    Se seneste uge