Perbaikan Adobe 'clickjacking' Cacat

Adobe Systems telah merilis versi baru dari perangkat lunak Flash Player, memperbaiki bug keamanan penting yang dapat menjadikan Internet sebagai tempat berbahaya bagi peselancar Web.

Perangkat lunak Flash Player 10 yang baru dirilis Rabu, memperbaiki kekurangan keamanan dalam perangkat lunak multimedia Adobe termasuk bug yang dapat memungkinkan peretas untuk melakukan apa yang dikenal sebagai serangan clickjacking, tulis juru bicara Adobe David Lenoe di sebuah posting blog.

Bagi mereka yang tidak dapat memperbarui ke versi baru Flash, patch keamanan Flash 9 masih sekitar sebulan lagi, ia menambahkan. Adobe menilai bug clickjacking sebagai 'penting.'

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Meskipun tidak banyak digunakan oleh penjahat, clickjacking telah menerima banyak perhatian sejak pertama kali dibahas sebulan lalu. Flash bukan satu-satunya perangkat lunak yang rentan terhadap serangan clickjacking, tetapi serangan Flash telah dianggap salah satu yang paling berbahaya.

Peneliti keamanan yang menemukan masalah, Robert Hansen dan Jeremiah Grossman, berniat untuk sepenuhnya membahas clickjacking di presentasi konferensi keamanan 24 September. Tapi mereka mundur dan memberikan versi yang lebih tipis dari pembicaraan mereka ketika Adobe meminta lebih banyak waktu untuk menambal perangkat lunaknya.

Pekan lalu, bagaimanapun, peneliti keamanan Guy Aharonovsky menunjukkan bagaimana serangan clickjacking Adobe Flash akan bekerja, dan dengan informasi sekarang di tempat terbuka, Hansen dan Grossman dipublikasikan dengan temuan mereka.

Dalam serangan clickjacking, para pengguna peretas berbagai teknik untuk mengendalikan tautan apa yang sebenarnya diklik oleh korban. Dalam satu serangan, misalnya, penyerang pertama-tama harus mengelabui korban agar mengunjungi halaman Web jahat dan kemudian mengklik pada apa yang tampak sebagai tautan Web biasa. Pada kenyataannya korban akan mengklik sesuatu yang sama sekali berbeda seperti objek Flash yang menyalakan mikrofonnya. "Hampir tidak mungkin bagi pengguna untuk menentukan apa yang akan terjadi ketika mereka mengklik tautan," kata Hansen, yang adalah CEO SecTheory.org, dalam sebuah wawancara minggu lalu.

Seorang clickjacker dapat menyadap PC korban, memaksa mereka untuk melakukan perdagangan saham online, menghapus halaman blog, mengubah konfigurasi router atau firewall, membuat akun surat Web baru, atau bahkan memaksa mereka untuk mengunduh perangkat lunak, kata Hansen.

Karena clickjacking mempengaruhi plugin browser lainnya, cara terbaik untuk memperbaikinya masalah clickjacking mungkin mengubah cara kerja browser, kata Hansen. "Pembuat peramban memahami masalah dan mereka berusaha mencari cara untuk meredakannya," katanya.