Twee veiligheidsonderzoekers zouden in een presentatie op de Open Web Application Security Project (OWASP) conferentie in New York een onthulling doen over een belangrijk veiligheidslek in webbrowsers. Robert "RSnake" Hansen en Jeremiah Grossman wilden de aandacht vestigen op clickjacking: een manier voor hackers om de computer van een slachtoffer over te nemen nadat deze op een kwaadaardige link op een webpagina heeft geklikt.

Deze methode stelt de hacker in staat om een hoop narigheid te veroorzaken na de gewraakte klik: cross-site scripts (XSS), SQL injectie en 'cross-site request forgery' (CSRF), waardoor nog meer gebruikers ten prooi kunnen vallen aan de hacker.

Adobe vraagt om meer tijd

Op het laatste moment werd de presentatie afgezegd, nadat Adobe de twee onderzoekers had verzocht om te wachten met het bekendmaken van de details van de kwetsbaarheid. Clickjacking draait niet alleen om webbrowsers, maar vooral niet nader genoemde producten van Adobe zijn in het geding. Dit was reden voor het softwarebedrijf om de hackers te verzoeken verdere details van de kwetsbaarheid stil te houden.

Ook al zijn Hansen en Grossman ervan overtuigd dat het probleem ligt in de manier waarop webbrowsers zijn ontworpen, toch is het Adobe die de twee heeft verzocht om verdere details stil te houden totdat er in ieder geval een patch uit kon worden gebracht die de ergste kwetsbaarheid zou verhelpen. Grossman zei in een interview: "Adobe is ervan overtuigd dat ze iets kunnen doen om de hack-methode moeilijker te maken".

Niet onder druk gezet

De onderzoekers benadrukken dat de presentatie niet is uitgesteld omdat Adobe hen hiertoe heeft gedwongen: "Dit is geen duister zaakje waarbij wij als hackers onder druk worden gezet door 'The Man' om onze mond te houden", aldus Hansen op zijn blog.

Hij noemt de kwestie van het MIT en de MBTA als voorbeeld waar dit wel het geval was. Adobe publiceerde kort na de bekendmaking een blogpost waarin het bedrijf de twee onderzoekers bedankte voor hun medewerking en hun discretie met betrekking tot het lek.

Hansen geeft internetters het advies om voorlopig Javascript en plugins uit te schakelen in hun browser om niet ten prooi te vallen aan het lek. Hij belooft dat meer details snel volgen.