IE 8 RC版再掀點閱綁架議題

微軟上周釋出的IE8 RC版瀏覽器強調可防堵點閱綁架（ClickJacking）漏洞。然後，隨後Google的Chrome及Mozilla的Firefox先後傳出含有點閱綁架漏洞，都讓點閱綁架問題再度浮上檯面，成為熱門討論議題。

點閱綁架漏洞是由WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長Robert Hansen在去年9月首度揭露，該漏洞可讓駭客仿造合法網頁，並將偽造的透明網頁藏於合法網頁下，因此使用者以為是在合法網頁上的滑鼠點選，實際上是觸動了惡意網頁的指令。如果駭客偽造的是銀行網頁，那麼使用者也許只是按了某一個網頁連結，卻可能是將錢轉到陌生的帳戶中，駭客也可透過此漏洞讓使用者下載惡意程式或是執行任何功能。

當時這兩名資安人員指出所有的瀏覽器都含有該漏洞，無一倖免。而一名安全研究人Aditya Sood則在上周發表了針對Chrome瀏覽器的點閱綁架漏洞概念性驗證程式，該程式除了影響Chrome外，Firefox亦在危及名單內，Google已著手修補相關漏洞並不忘表示所有瀏覽器都會受到點閱綁架漏洞影響。

微軟IE專案經理Eric Lawrence旋在部落格中說明了IE8 RC1版在安全上的改善，包含修補跨站冒名請求（Cross Site Request Forgery，CSRF）漏洞及點閱綁架漏洞。

Lawrence指出，防止點閱綁架漏洞最簡單而且最受歡迎的方式為frame-busting，限制自家的網頁出現在瀏覽器最上端而不會被駭客網頁取代，但該方法必須使用容易被攻陷的script，因此IE8採用新的X-FRAME-OPTIONS機制可讓網路應用程式說明哪些網頁不能被加框取代而減輕點閱綁架漏洞所帶來的威脅。

Lawrence說明，當開發人員在網頁上傳送X-FRAME-OPTIONS的HTTP反應標頭時，就可限制網頁被框住的形式，假設X-FRAME-OPTIONS的值是DENY，那麼IE8則不會呈現任何被框住的網頁，如果其值為SAMEORIGIN，那麼IE8僅會防堵那些與網頁來源不同的頁面。

雖然微軟宣稱修補了點閱綁架漏洞，但資安專家們並不認為這是立即見效的方法，因為微軟是要求網站業者及開發人員的配合，而不是直接保護使用者的安全。其中Hansen認為，可能要經年累月再加上不斷地教育才能讓所有網站採用微軟的機制。

InternetNews.com則引述Grossman的看法指出，即使IE8提供網站開發人員可用的機制，但使用者仍無從保護他們自己，同時該解決方案目前仍非跨平台的；Grossman認為應該要有一個所有瀏覽器都適用的解決方案。

由於點閱綁架漏洞屬於新興且非常複雜的漏洞，因此目前還沒有出現相關的攻擊，但該漏洞可能帶來具大的威脅，使得包括瀏覽器業者及資安業者都積極尋求解決該漏洞的方法。

目前出爐的解決方案之一為針對Mozilla Firefox設計的NoScript外掛程式，該程式可關閉Script功能並阻擋利用框架的攻擊。（編譯/陳曉莉）