访问：

【活动】阿里巴巴云“企业飞行会员年终节”:新户最多可领1212元红包

淘宝双12超级红包收藏入口：一天最多3次，最多1212元

两位安全研究专家发现了这个漏洞，他们透露了一些相关信息来显示这个安全威胁的严重性。

到底是什么？

两位研究专家说，他们发现的绝不是一个小问题。事实上，这是非常严重的，他们必须在披露这些信息之前承担责任。这些问题层出不穷，至少有两家厂商曾表示会提供补丁，但日期未定。目前我们只和有限几个厂家讨论这个问题，所以问题很严重。

据参加半公开示威的人说，这个漏洞非常紧急，会影响所有浏览器，与此无关：

一般来说，当你访问一个恶意网站时，攻击者可以控制你的浏览器对某些链接的访问。该漏洞影响几乎所有浏览器，除非您使用像lynx这样的字符浏览器。这个漏洞与此无关，即使关闭浏览器功能，也无能为力。其实这是浏览器工作原理上的一个缺陷，不是简单的补丁就能解决的。恶意网站允许你在不知情的情况下点击网站上的任何链接、按钮或任何东西。

如果这没有让你恐慌的话，想想这种情况，当一个用户受到攻击的时候，他会懵懂无助：

比如在易趣，因为可以嵌入，虽然不需要攻击，但是可以让攻击更容易。只有lynx角色浏览器可以保护自己，不要什么动态。此漏洞使用DHTML。使用反框架代码可以保护您免受跨站点攻击，但攻击者仍然可以强迫您单击任何链接。你的任何点击都指向恶意链接，所以那些Flash游戏将首当其冲。

汉森说，他们已经与微软和Mozilla讨论过这个问题，但他们都表示这是一个非常困难的问题，目前没有简单的解决方案。

格罗斯曼准确地说，微软最新的IE8和Mozilla最新的Firefox3也不能幸免。

目前唯一的办法就是禁用浏览器的脚本和插件功能。

阅读更多

adobeblashadslaunchinchingclipboardhijackattack

火狐NoScriptvsClickjacking

资料来源：http://blogs.zdnet.com/security/? p=1972

中文翻译：COMSHARPCMS