Exploiting clickjacking vulnerability to trigger DOM based XSS (Video solution)
Pagkatapos ng mga plano sa pag-detalyado ng isang browser clickjacking kahinaan na hindi direktang may kaugnayan sa mga produkto ng Adobe Systems sa kahilingan ng kumpanya nang mas maaga sa buwan na ito, ang isang tagapagpananaliksik ng seguridad ay nagplano sa detalye ng depekto sa susunod na buwan.
Jeremiah Grossman, punong teknolohiya sa White Hat Security, ay talakayin ang kahinaan sa panghihimasok sa Hack In The Box (HITB) sa Kuala Lumpur, Malaysia. "Wala kaming ETA sa pag-aayos ng Adobe, ngunit umaasa kami na ito ay magiging linggo at hindi buwan. Kahit o hindi nila 'patch,' hindi nito babaguhin ang nilalaman ng aking pangunahing tono," sumulat siya sa isang e- mail.
Grossman ay naka-iskedyul na detalye ng clickjacking kapintasan sa Robert Hansen, CEO ng SecTheory, sa conference ng Open Web Application Security Project sa New York, ngunit hinila nila ang pagtatanghal sa kahilingan ng Adobe. Ang mga hacker ay nagsabi na walang presyur ang inilagay sa kanila, ngunit nais ng oras ng Adobe na pag-aralan at tugunan ang kahinaan bago ito ipahayag sa publiko. "Ito ay hindi isang masamang" sinisikap ng tao na panatilihing pababa sa amin ang mga sitwasyon, "isinulat ni Hansen sa kanyang blog noong panahong iyon.
Clickjacking ay isang pag-atake kung saan nag-click ang isang gumagamit sa isang pindutan sa isang browser, iniisip na ang pindutan ay gagawa ng isang tiyak na function, tulad ng pagsusumite ng isang kuwento ng balita sa Digg, ngunit sa halip ng isang pag-atake hijacks ang pindutan upang gamitin ito para sa isa pang layunin. Ang kahinaan ay "malinaw na nakakatakot sapat para sa Adobe upang tawagin ito ng isang kritikal na isyu at humingi ng mas maraming oras, kahit na sila ay hindi tuwirang apektado," Grossman wrote sa isang e-mail.
Sa paglipas ng katapusan ng linggo, Grossman at Hansen binalak sa ipagbigay-alam sa Adobe ang kanilang layunin na magpatuloy sa pagtatanghal at gawin ang patunay-ng-konsepto na code na binuo nila magagamit.
"Kami ay nagbigay ng oras ng Adobe sa paggalang dahil tinanong nila at mayroon kaming mahusay na pakikipag-ugnayan sa kanila. ang oras ng pagiging produktibo, ngunit hindi kami maaaring sumang-ayon sa isa pang pagkaantala, "sumulat si Grossman. "Ang aming paniniwala ay clickjacking bilang isang isyu ay hindi isang problema sa kanilang software, ngunit sa mga browser sa pangkalahatan. Hindi ito magiging patas sa iba na ito ay epekto sa walang impormasyon na kailangan nila."
HITB ay gaganapin sa Kuala Lumpur mula Oktubre 27-30.
Report: China May Issue 3G Licenses This Month
Tsina ay maaaring mag-isyu ng 3G lisensya sa lalong madaling panahon, ayon sa mga balita ng Mainland balita. Ang mga pagkaantala, sa wakas ay maaaring mag-isyu ang China ng mga lisensya para sa mga operator upang magbigay ng 3G (third-generation) mobile na serbisyo.
Big Skype Update Coming Next Month
Skype ay naglalabas ng isang pangunahing, video-centric upgrade sa PC client nito sa susunod na buwan. upgrade sa software ng PC client nito nang maaga sa susunod na buwan, ang paggawa ng video conferencing isang sentrong tampok ng bagong interface.
Buffalo Shipping External USB 3.0 Hard Drives This Month
Buffalo ay naka-set sa barko ng isang bagong hanay ng mga panlabas na USB 3.0 hard drive sa buwang ito.