Flash曝出嚴(yán)重安全漏洞 黑客可強(qiáng)制啟動網(wǎng)民攝像頭

（2008年10月12日北京） 360安全中心今日發(fā)出網(wǎng)絡(luò)安全警報稱，一項名為“Clickjacking”的安全問題被曝出，涉及幾乎所有的網(wǎng)絡(luò)應(yīng)用。其中最嚴(yán)重的就是“Flash強(qiáng)制啟動視頻”漏洞。利用這一漏洞，黑客可強(qiáng)制啟動并完全控制受害網(wǎng)民的攝像頭和麥克風(fēng)，從而對網(wǎng)民個人隱私形成極大的威脅。為此，360安全中心緊急開發(fā)了針對該漏洞的專用修復(fù)工具（點此下載）。截至本文發(fā)稿前，Adobe官方尚未對此漏洞推出安全補(bǔ)丁。

據(jù)360安全專家介紹，黑客可以利用“Flash強(qiáng)制啟動視頻”漏洞，設(shè)計一個惡意網(wǎng)頁。當(dāng)網(wǎng)民不慎訪問該網(wǎng)頁時，就會觸發(fā)這一漏洞。黑客可以在受害者毫不知情的情況下，強(qiáng)制啟動并完全控制其攝像頭和麥克風(fēng)，大肆偷窺他人的個人隱私。黑客甚至還可能將通過受害者攝像頭和麥克風(fēng)捕捉到的視、音頻資料制作成視頻作品在網(wǎng)上進(jìn)行傳播。

據(jù)悉，由于Adobe Flash Player軟件在互聯(lián)網(wǎng)上應(yīng)用極其廣泛，而該“Flash強(qiáng)制啟動視頻”漏洞會影響到Flash軟件的絕大多數(shù)版本，因而該漏洞已經(jīng)成為廣大網(wǎng)民電腦中非常嚴(yán)重的安全隱患。但截至目前，Adobe官方尚未對此漏洞推出任何安全補(bǔ)丁。

360安全中心緊急開發(fā)了針對該漏洞的專用修復(fù)工具（點此下載），并強(qiáng)烈建議用戶立即使用該工具進(jìn)行修復(fù)，同時建議用戶使用360安全衛(wèi)士為自己的系統(tǒng)打好補(bǔ)丁，以確保盡快遠(yuǎn)離隱私泄露的威脅。

360安全專家同時提醒廣大用戶，盡快按如下方案處理：

一、下載使用“Flash強(qiáng)制視頻”漏洞工具。

（下載地址：http://dl.360safe.com/360flashvfix.exe）

二、經(jīng)常使用360安全衛(wèi)士修復(fù)系統(tǒng)及第三方軟件漏洞。

三、開啟360安全衛(wèi)士的“網(wǎng)頁防漏及惡意網(wǎng)站攔截”功能，及時攔截可能存在風(fēng)險的網(wǎng)頁。

此外，360安全中心建議網(wǎng)民使用360安全瀏覽器，上網(wǎng)時就能自動屏蔽惡意網(wǎng)址并可智能攔截網(wǎng)頁中的惡意代碼，使電腦中招的概率降到最低。

___________________________________________________

附：新聞背景

一、點擊下面鏈接，觀看模擬的黑客攻擊動畫。（攝像頭就這樣被打開了…可怕?。。?/P>

http://baike..#/recommend/4012610/12737516.html

二、“Flash強(qiáng)制啟動視頻”漏洞的技術(shù)內(nèi)幕。

Clickjacking是OWASP_NYC_AppSec_2008_Conference的一個保密的議題，以下是一些攻擊的描敘：

當(dāng)你訪問一個惡意網(wǎng)站的時候，攻擊者可以控制你的瀏覽器對一些鏈接的訪問，這個漏洞影響到幾乎所有瀏覽器以及所有版本的Flash等瀏覽器相關(guān)的第三方軟件，除非你使用lynx一類的字符瀏覽器。

這個漏洞與JavaScript無關(guān)，即使你關(guān)閉瀏覽器的JavaScript功能也無能為力。事實上這是瀏覽器工作原理中的一個缺陷。一個惡意網(wǎng)站能讓你在毫不知情的情況下點擊任意鏈接，任意按鈕或網(wǎng)站上的任意東西。

該漏洞用到DHTML，使用防frame代碼可以保護(hù)你不受跨站點攻擊，但攻擊者仍可以強(qiáng)迫你點擊任何鏈接。你所做的任何點擊都被引導(dǎo)到惡意鏈接上，所以，那些Flash游戲?qū)⑹桩?dāng)其沖。

最近國外的安全研究人員已經(jīng)放出了該漏洞的攻擊例子，以及部分細(xì)節(jié)，這種攻擊是利用的CSS樣式表的網(wǎng)頁渲染功能配合IFRAME幀框架頁進(jìn)行的一種釣魚網(wǎng)頁攻擊。這個攻擊涉及網(wǎng)頁設(shè)計相關(guān)的技巧，步驟是：

1.在第三方站點的網(wǎng)頁先用IFRAME引入一個需要攻擊的頁面,將這個引入的框架頁長寬設(shè)置成整個瀏覽窗口的大小。

2.在網(wǎng)頁中使用一個CSS濾鏡，將整個網(wǎng)頁用白色濾鏡遮蔽。

3.使用span或div設(shè)計一個層偽造一個表單提交按鈕、輸入框或者鏈接，然后利用CSS樣式表設(shè)置層在網(wǎng)頁中的位置，遮蔽住需要劫持的網(wǎng)頁按鈕、輸入框或者鏈接。

攻擊者使用這種方法可以制作釣魚網(wǎng)頁，誘導(dǎo)用戶在不察覺的情況下，完成一些受攻擊WEB程序的敏感操作。

漏洞危害：

攻擊者可以制作一個精美的釣魚網(wǎng)頁，讓用戶在不知不覺中被控制攝像頭，或完成密碼修改、網(wǎng)銀轉(zhuǎn)帳等的惡意操作，給用戶造成巨大的損失。