Clickjacking - Din webbläsare är åter i blåsväder!

[brainslicer]

Från Sitic:

Clickjacking - Din webbläsare är åter i blåsväder!

http://www.sitic.se/publikationer/namnvart/clickjacking-din-webblasare-ar-ater-i-blasvader

Clickjacking kallas ett nytt sätt att angripa webbläsare. I princip alla populära webbläsare som Microsoft Internet Explorer, Mozilla Firefox och Apple Safari har rapporterats sårbara. Sårbarheten bygger på att angriparen kan ta kontroll över vilka länkar din webbläsare ofrivilligt kommer klicka på när en hemsida besöks. Detta utan att java-script är påslaget. Problemt är också att denna sårbarhet verkar väldigt svårt att åtgärda. Den enda säkra webbläsaren nu ska enligt de som hittat sårbarheten text-baserade lynx vara. Även Firefox med tilläget NoScript rätt konfigurerad ska ge skydd. För mer information se länkarna nedan.

 

http://blogs.zdnet.com/security/?p=1972

http://blogs.zdnet.com/security/?p=1973

Firefox klarar sig med NoScript, om man även bockar i "Förbjud <IFRAME>" i tillägg-fliken, vilket inte är ikryssat by deffault.

 

demo: http://www.breakingpointsystems.com/community/blog/clickjacking/real-clickjacking

 

 

 

_____________________________

 

Plus en påminnelse om att vara uppdaterad och helst stänga av saker som pdf, flash, java osv...

The Portable Document Format (PDF) is one of the file formats of choice commonly used in today’s enterprises, since it’s widely deployed across different operating systems. But on a down-side this format has also known vulnerabilites which are exploited in the wild. Secure Computing’s Anti-Malware Research Labs spotted a new and yet unknown exploit toolkit which exclusively targets Adobe’s PDF format.

http://www.virus.org/news/19-system-security/348-pdf-exploit-kits

http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits

http://blogs.zdnet.com/security/?p=1954

http://sakerhet.idg.se/2.1070/1.182026

[TotalFarsa]

Men vad faaaan. Snart vågar man ju inte slösurfa längre

[Jimbolito]

Plus en påminnelse om att vara uppdaterad och helst stänga av saker som pdf, flash, java osv...

 

 

Hur stänger man av pdf,flash,java? Leta under internetalt.>Avancerat, men hitta inget. Vad kommer man inte ha möjlighet att göra när dessa är avstängda?

[brainslicer]

Hur stänger man av pdf,flash,java? Leta under internetalt.>Avancerat, men hitta inget. Vad kommer man inte ha möjlighet att göra när dessa är avstängda?

 

Vilken Browser? MS hjälp för Explorer där:

How to stop an ActiveX control from running in Internet Explorer

http://support.microsoft.com/kb/240797

 

Det är jobbigt att göra ändringarna manuellt i tex Explorer ...och givetvis opraktiskt. Att inte pdf, qt, wmp osv öppnas i webbläsare kanske man kan leva med, men stänger man av flash och java så blir många sidor oanvändbara.

 

EDIT: måste väl adda de här innan nån lyckas ha sönder nåt

Warning - Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Modify the registry at your own risk.

 

The Kill-Bit FAQ: Part 1 of 3

http://blogs.technet.com/swi/archive/2008/02/06/The-Kill_2D00_Bit-FAQ_3A00_-Part-1-of-3.aspx

The Kill-Bit FAQ: Part 2 of 3

http://blogs.technet.com/swi/archive/2008/02/07/The-Kill_2D00_Bit-FAQ_3A00_-Post-2-of-3.aspx

The Kill-Bit FAQ: Part 3 of 3

http://blogs.technet.com/swi/archive/2008/02/08/The-Kill_2D00_Bit-FAQ_3A00_-Part-3-of-3.aspx

 

Firefox? noscript där eller där

FF + NoScript är det överlägset bekvämaste sättet, man kan tillåta enstaka sidor enligt önskemål med ett klick[tillfälligt eller för alltid].

[Matfrid]

Det var ju märkligt detta. Jag testade exemplet där en elak url läggs i clipboard. Hur går detta till? Har flash plugin rättigheter att lägga saker i clipboard eller går det till på ngt annat sätt?

[brainslicer]

Det var ju märkligt detta. Jag testade exemplet där en elak url läggs i clipboard. Hur går detta till? Har flash plugin rättigheter att lägga saker i clipboard eller går det till på ngt annat sätt?

 

tjaa.. är väl mest spekulationer, ingen har väl gått ut med klara uppgifter ännu...och det verkar vara mer än en sårbarhet...

On Friday, Hansen declined to confirm that the affected Adobe software was Flash, the ubiquitous multimedia content player that most users run as plug-in to their browser

Internet Explorer, Firefox, Safari, Opera, Chrome, others vulnerable to new class of attacks

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9115700&source=rss_news

 

...

...

Details of the multiple flaws -- six different types, by one count -- are sketchy, because the researchers, who presented some of their findings at a security conference earlier this week, have purposefully kept their information confidential as at least one vendor works on a fix.

Although the clickjacking problem has been associated with browsers -- users of Internet Explorer, Firefox, Safari, Opera, Google Chrome and others are all vulnerable to the attack -- the problem is actually much deeper

...

...

"Think of any button on any Web site, internal or external, that you can get to appear between the browser walls," Grossman said in an e-mail on Friday. "Wire transfers on banks, Digg buttons, CPC advertising banners, Netflix queue, etc. The list is virtually endless and these are relatively harmless examples. Next, consider that an attack can invisibly hover these buttons below the users' mouse, so that when they click on something they visually see, they actually are clicking on something the attacker wants them to."

Hansen seconded Grossman's example with one of his own. "Say you have a home wireless router that you had authenticated prior to going to a [legitimate] Web site. [The attacker] could place a tag under your mouse that frames in a single button an order to the router to, for example, delete all firewall rules. That would give them an advantage in an attack."

Hackers would not need to compromise a legitimate site in order to conduct a clickjacking attack underneath it, Hansen added.

...

...

For the moment, the best defense against clickjacking attacks is to use Firefox with the NoScript add-on installed. Users running that combination will be safe, said Hansen, against "a very good chunk of the issues, 99.99% at this point."

...

...

[brainslicer]

mer info:

http://www.sitic.se/publikationer/namnvart/clickjacking-mer-detaljerad-information-publicerad

Clickjacking - mer detaljerad information publicerad

 

Efter att exempelkod dykt upp som visar hur Adobe Flash Player utnyttjas med hjälp av clickjacking, så har Robert (Rsnake) publicerat mer detaljerad information om problemet här: http://ha.ckers.org/blog/20081007/clickjacking-details

 

Adobe har i sin tur publicerat information om hur man kan skydda Flash Player tills vidare, innan det kommer en uppdatering: http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html

 

Den nyaste versionen av NoScript, ett plugin till Firefox, kommer med funktionaliteten "ClearClick" som ska förhindra just clickjacking. Mer information finns här: http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking och NoScript kan laddas hem här: http://noscript.net

 

Rich Mogull från Securosis diskuterar clickjacking här: http://securosis.com/2008/10/07/clickjacking-details-analysis-and-advice

 

 

2008-10-08 20:43

________________________________________________

där manuella fixen för den som bryr sig, tills patch kommer:

http://www.adobe.com/support/security/advisories/apsa08-08.html

Flash Player workaround available for "Clickjacking" issue

 

Release date: October 7, 2008

Vulnerability identifier: APSA08-08

Platform: All Platforms

Affected Software: Adobe Flash Player 9.0.124.0 and earlier

 

Solution

 

Customers:

 

To prevent this potential issue, customers can change their Flash Player settings as follows:

1. Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at the following URL: http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html
   
2. Select the "Always deny" button.
   
3. Select ‘Confirm’ in the resulting dialog.
   
4. Note that you will no longer be asked to allow or deny camera and / or microphone access after changing this setting. Customers who wish to allow certain sites access to their camera and / or microphone can selectively allow access to certain sites via the Website Privacy Settings panel of the Settings Manager at the following URL: http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html.

[barotraumakid]

Arrrrrrgh!!!

Nu är det nog. Jag stänger ned alla virusprg. Skiter i bugfixar och uppgraderingar.

Clickjacking- visst sno allt ni vill.. Jag köper/formaterar sedan om livet/dator, så kan ni komma tillbaks och sno litet till. Ni kan inte vinna för jag är friiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!!!!!!!!!!!!

[brainslicer]

Arrrrrrgh!!!

Nu är det nog. Jag stänger ned alla virusprg. Skiter i bugfixar och uppgraderingar.

Clickjacking- visst sno allt ni vill.. Jag köper/formaterar sedan om livet/dator, så kan ni komma tillbaks och sno litet till. Ni kan inte vinna för jag är friiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!!!!!!!!!!!!

problemet är dock inte bara vad som kan snos... även en dator utan konton och känslig information har värde för angriparna: bandbredd, lagringsutrymme, skicka spam ifrån, plattform att attackera andra, IP att gömma sig bakom...osv

 

ett extremt exempel:

En felinställd dator - ett förstört liv

http://www.idg.se/2.1085/1.169328

[brainslicer]

ny version finns nu som fixar en del...

SR08-288 Adobe - Flash 10 rättar fem säkerhetshål

http://www.sitic.se/sarbarheter/sr/sr08-288-adobe-flash-10-rattar-fem-sakerhetshal

[Illvillja]

Ok,

Hur ställer jag in "noScript" och klickar ur den där skiten i firefox?

 

Det ska fan till att man snart inte vågar surfa alls på burken

[brainslicer]

Ok,

Hur ställer jag in "noScript" och klickar ur den där skiten i firefox?

Vet inte vad du menar nu, noscript använder whitelist eller vill du avinstallera/spärra Flash helt eller? isf kan du hämta ett program hos Adobe http://kb.adobe.com/selfservice/viewContent.do?externalId=tn_14157 (rekkomenderas om man vill bli av med gamla versioner, eftersom en uppgradering inte tar bort den gamla, så man kanske har en sårbar version kvar, kanske i en annan browser)

 

Dock så slutar sidor att fungera korrekt om du börjar avinstallera java, flash och andra plugins. Tex banken, youtube videon och många fler, bl.a. många poker/betting sajter kan du inte använda utan dessa plugins.

(...så dom är mer eller mindre ett måste. vad man kan göra är att hålla koll på uppdateringar och styra med NoScript var dom tillåts köras)

 

 

Normalt så spärrar man elaka saker och tillåter övriga, kallas blacklist

Noscript använder whitelist, dvs by deffault är det mesta spärrat och man måste whitelista(tillåta) manuellt.

 

Det mesta är spärrat, du måste tillåta tex att script körs på din banksida, på bettingsidan din osv .... kolla ikonen och lägg till sidor on-the-fly:

(eller gå in manuellt och adda sajter i settings, som videon nedan visar)

 

Using NoScript with Firefox:http://www.youtube.com/watch?v=BKW5SMvMKtY

 

Vanliga frågor och svar aka FAQ: http://noscript.net/faq

[Matfrid]

Vet inte vad du menar nu? Vill du avinstallera Flash eller?

 

Jag tror att han bara ville veta hur man är någorlunda säker med hjälp av noscript. Och då tror jag svaret är vad du ursprungligen skrev:

 

"Firefox klarar sig med NoScript, om man även bockar i "Förbjud <IFRAME>" i tillägg-fliken, vilket inte är ikryssat by deffault. "

 

För flash kan man sedan använda sig av flashblock addon, som gör att man kan välja att tillåta flash i de fall man vill ha det.

[brainslicer]

Jag tror att han bara ville veta hur man är någorlunda säker med hjälp av noscript. Och då tror jag svaret är vad du ursprungligen skrev:

 

"Firefox klarar sig med NoScript, om man även bockar i "Förbjud <IFRAME>" i tillägg-fliken, vilket inte är ikryssat by deffault. "

 

För flash kan man sedan använda sig av flashblock addon, som gör att man kan välja att tillåta flash i de fall man vill ha det.

 

Jo antagligen...spelade just så yrade bort mig. Många ser inte ser skillnaden mellan normala blacklist och whitelist som noscript använder, dvs spärrat standard(man måste tillåta, inte tvärtom).

 

Jag kör med tillåt frames o iframes, tycker det är så struligt annars: med den ikryssad spärras alla(även dom som kommer från sidor man valt att tillåta). Om man tillåter den spärrar ju den ändå frames/scripts från okända sidor.

 

För clickjackning finns ju clearclick skydd nu i noscript.

[Matfrid]

Jo antagligen...spelade just så yrade bort mig. Många ser inte ser skillnaden mellan normala blacklist och whitelist som noscript använder, dvs spärrat standard(man måste tillåta, inte tvärtom).

 

Jag kör med tillåt frames o iframes, tycker det är så struligt annars: med den ikryssad spärras alla(även dom som kommer från sidor man valt att tillåta). Om man tillåter den spärrar ju den ändå frames/scripts från okända sidor.

 

För clickjackning finns ju clearclick skydd nu i noscript.

 

Alltså, för dom som inte vill gräva i detta, tolkar jag det som:

 

 

- installera noscript i Firefox

- välj options-plugins: clearclick protection on untrusted pages

[brainslicer]

Alltså, för dom som inte vill gräva i detta, tolkar jag det som:

 

 

- installera noscript i Firefox

som de kommer deffault, utan att ändra nåt kör jag...

(clearclick är ju enabled by default, sedan de kom)

 

från faq http://noscript.net/faq

7 - ClickClear and Clickjacking

 

7.1

 

Q: How does NoScript protect me from Clickjacking and other UI-redressing attacks?

A: Default protections provided by NoScript, i.e. JavaScript and plugin blocking can prevent most clickjacking attacks. To be 100% protected against clickjacking, though, you should enable also Forbid <IFRAME> and possibly Apply these restrictions to trusted sites as well.

While some users are confortable with these ultra-hardened settings, they can get cumbersome for others. Fortunately, since version 1.8.2 NoScript provides a new default kind of protection called ClearClick, which defeats clickjacking no matter if you block frames or not.

 

___________________________________________________

 

4.8

 

Q: How does IFrame blocking work and why is it disabled by default?

A: IFrame blocking is disabled by default because in its early stages it used to break too much stuff, while disabling scripts and blocking objects, combined with the anti-XSS protection, actually prevents most of the IFRAME-based attacks you could imagine. Anyway this feature has been tweaked and fine-tuned over time, and it should be much more usable now, especially after the Blocked objects menu has been implemented offering an alternate enabling UI, handy when placeholders are not easily accessible.

Furthermore, since clickjacking became popular, enabling it is probably a good idea

Here's how IFRAME blocking works, once enabled from NoScript Options|Plugins|Forbid IFRAMEs:

1. IFRAMEs embedded in untrusted pages are always blocked, unless they load content from the same site as their parent
   
2. IFRAMEs embedded in trusted pages are blocked if they try to load content from untrusted sites
   
3. If NoScript Options|Plugins|Apply these restrictions to trusted sites too is checked, no IFRAME can be loaded unless it loads content from the same site as its parent
   
4. In every case, IFRAMEs loading content from the same site as their parent are allowed.

When an IFRAME is blocked, you can see a clickable yellow placeholder which you can use either to examine its URL, save the document without opening it or activate it on the fly.

det minsta man kan begära när man använder ett program att läsa faq iaf , hur lat man än är...

+att saker och ting ändras: vad nån svarar här idag gäller kanske inte imorgon: tex NoScript kom från början med endast Förbjuden Java default, men efter det har ju ett som annat hänt...