Kerentanan Clickjacking Akan Diungkap Bulan Depan

Setelah memangkas rencana untuk merinci kerentanan clickjacking browser yang secara tidak langsung terkait dengan produk Adobe Systems atas permintaan perusahaan awal bulan ini, seorang peneliti keamanan berencana untuk merinci kekurangan bulan depan.

Jeremiah Grossman, kepala teknologi di White Hat Security, akan membahas kerentanan pada konferensi Hack In The Box (HITB) di Kuala Lumpur, Malaysia. "Kami tidak memiliki ETA tentang perbaikan Adobe, tetapi kami berharap bahwa itu akan menjadi minggu dan bukan bulan. Apakah atau tidak mereka 'patch,' itu tidak akan mengubah isi pidato utama saya," tulisnya dalam sebuah e- mail.

Grossman dijadwalkan untuk menjabarkan kekurangan clickjacking dengan Robert Hansen, CEO SecTheory, pada konferensi Proyek Keamanan Aplikasi Web Terbuka di New York, tetapi mereka menarik presentasi atas permintaan Adobe. Para peretas mengatakan tidak ada tekanan yang dibebankan pada mereka, tetapi Adobe ingin waktu untuk mempelajari dan mengatasi kerentanan sebelum dipublikasikan. "Ini bukan kejahatan 'orang itu mencoba untuk menjaga kita peretasan' situasi," tulis Hansen di blog-nya pada saat itu.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Clickjacking adalah sebuah serangan di mana pengguna mengklik tombol di browser, berpikir tombol akan melakukan fungsi tertentu, seperti mengirimkan berita ke Digg, tetapi sebaliknya seorang penyerang membajak tombol untuk menggunakannya untuk tujuan lain. Kerentanan adalah "jelas cukup menakutkan bagi Adobe untuk menyebutnya masalah kritis dan meminta lebih banyak waktu, meskipun mereka hanya secara tidak langsung terpengaruh," tulis Grossman dalam sebuah email.

Selama akhir pekan, Grossman dan Hansen berencana untuk memberi tahu Adobe tentang niat mereka untuk melanjutkan presentasi dan membuat kode bukti konsep yang mereka kembangkan tersedia.

"Kami memberi Adobe waktu karena kesopanan karena mereka bertanya dan kami memiliki hubungan kerja yang baik dengan mereka. Mereka menggunakan waktu produktif, tetapi kami tidak bisa menyetujui penundaan lain, "tulis Grossman. "Keyakinan kami adalah clickjacking sebagai suatu masalah bukanlah masalah dalam perangkat lunak mereka, tetapi dengan browser pada umumnya. Itu tidak adil bagi pihak lain yang berdampak tidak ada informasi yang mereka butuhkan."

HITB akan diadakan di Kuala Lumpur dari 27-30 Oktober.