 NoScript mit ClearClick
Die kostenlose Firefox-Erweiterung NoScript kann in der neuen Version verdeckte aktive Inhalte einer Website
aufspüren und schädliche Aktionen blockieren. Die als "ClearClick" bezeichnete neue Funktion soll vor
Clickjacking-Angriffen schützen.
In dieser Woche haben die Entdecker der so genannten Clickjacking-Attacken, Robert Hansen und Jeremiah Grossman,
eine Liste von 12 Angriffsmöglichkeiten veröffentlicht. Der italienische Sicherheitsforscher Giorgio Maone hat
sein Firefox-Addon NoScript um eine Funktion namens "ClearClick" erweitert, um Firefox-Nutzer vor solchen
Angriffen zu schützen.
Nach der Veröffentlichung von Hansen und Grossman hat der Flash-Entwickler Guy Aharonovsky demonstriert,
wie mittels Clickjacking die Einstellungen des Flash-Plugins von Adobe manipuliert werden können.
Angreifer können Zugriff auf Webcam und Mikrofon erlangen, ohne dass der Benutzer dies bemerkt.
Adobe hat angekündigt bis Ende Oktober ein Sicherheits-Update für Flash bereit zu stellen.
Guy Aharonovsky hat sein Demo inzwischen deaktiviert.
Giorgio Maone, Entwickler von NoScript, hat eine neue Schutzfunktion entwickelt, die er ClearClick getauft hat.
Sie ist seit Version 1.8.2 in NoScript integriert und bis zur aktuellen Version 1.8.2.4 weiter gereift.
Wenn ein verstecktes oder transparentes Element einer Web-Seite ein sichtbares überdeckt und so einen
Mausklick oder eine Tastatureingabe entführt, also für sich missbraucht, blockiert NoScript diese potenziell
schädliche Aktion. Stattdessen rückt NoScript die eigentliche, legitime Aktion wieder in den Vordergrund.
Somit können sich zumindest Benutzer von Firefox und darauf basierenden Browsern wie Seamonkey vor solchen
Angriffen schützen. Bislang sind zwar noch keine echten Fälle bekannt, in denen Clickjacking-Angriffe für
schädliche Zwecke eingesetzt werden, das kann sich jedoch schnell ändern.
|
