Les informations disponibles sont pour le moment légères. Ce que l'on sait c'est que la présentation initialement prévue lors de la conférence OWASP AppSec 2008 a été repoussée pour permettre aux éditeurs de préparer une réponse.
De quoi s'agit-il ? Ce serait une faille qui concerne tous les navigateurs "modernes" (seuls ceux qui utilisent Lynx ne seraient pas vulnérables) et qui permettrait à un attaquant de faire en sorte que votre navigateur clique sur n'importe quel lien ou bouton de façon automatique et sans action préalable de votre part. Seraient notamment concernés les toutes dernières versions des navigateur Internet Explorer et Firefox.
Cette faille ne serait pas liée à du code JavaScript mais serait basée sur le DHTML (Dynamic HTML). Si ces informations sont véridiques, c'est clairement de l'or en barre pour les phishers de tout poil...
Quelques liens qui tournent autour du sujet :
ZDNet, Clickjacking: Researchers raise alert for scary new cross-browser exploit
BreakingPoint Labs, Not Clickjacking (Almost Certainly)
Bien évidemment, nous serons amenés à reparler de ce sujet.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens