Firefox附加元件加入防堵Clickjacking功能

開發Firefox安全附加元件NoScript的義大利安全研究人員Giorgio Maone在上周發表了最新的NoScript 1.8.2.1，嵌入防堵點閱綁架（Clickjacking）漏洞的功能。

今年9月WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen揭露，所有瀏覽器都可能受到點閱綁架漏洞的影響。當時他們表示，已與微軟、Mozilla、蘋果及Adobe討論此一漏洞。而Adobe則在上周證實該瀏覽器漏洞影響Adobe Flash Player，將允許駭客存取使用者的麥克風及視訊攝影機，Adobe除了提供暫時補救方案外，也承諾會在10月底前修補該漏洞。

開發Firefox瀏覽器NoScript安全外掛程式的Giorgio Maone表示，因為此一點閱綁架漏洞是來自於可讓網站嵌入來自其他網頁內容的HTML iFrame基本設計，因此所有瀏覽器無一倖免。

Maone說，NoScript 1.8.2.1中有一個新的ClearClick功能，當使用者透過滑鼠或鍵盤與網頁互動或是點選網頁上的按鍵時，若是這些按鍵或互動元件潛藏來自其他網頁的內容或是資訊不夠透明時便會提出警告，並揭露原始資訊，使用者並可藉此防堵點閱綁架的攻擊。

目前NoScript僅支援Firefox，並不支援IE等其他瀏覽器。（編譯/陳曉莉）