PDA

Visualizza versione completa : Security Adobe Flash e la webcam che ti spiava



Asterix
22-10-11, 07: 36
Una nuova falla scovata nel player multimediale permette di attivare webcam e microfono a totale insaputa dell'utente. Adobe dice di essere già al lavoro per tappare la falla
Roma - Una nuova vulnerabilità è stata scovata all'interno del player Flash di Adobe, e questa volta a repentaglio potrebbe esserci la privacy dell'utente a causa della possibile attivazione non autorizzata di microfono e fotocamera installati sulla macchina.

A scovare la falla è stato lo studente dell'Università di Stanford Feross Aboukhadijeh, che ha sperimentato con gli attacchi "clickjacking" riuscendo ad attivare (http://betanews.com/2011/10/20/this-or-any-website-might-spy-on-you-thanks-to-an-adobe-flash-flaw/) microfono e webcam con un semplice giochino in Flash - i click su elementi apparentemente innocui dell'interfaccia di gioco portavano invece ad accendere surrettiziamente l'hardware di comunicazione presente sul computer.

Grazie al camuffamento di iFrame "invisibili" all'interno del file .swf del gioco in Flash, Aboukhadijeh ha fatto in modo di modificare la pagina delle impostazioni del player multimediale ospitata sui server di Adobe (http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager06.html).
Il baco è stato verificato su browser Mac OS X e Windows, mentre l'unico software di navigazione a non prestare il fianco al problema sembra essere Google Chrome. Dal canto suo, Adobe dice (http://www.pcworld.com/article/242227/adobe_to_fix_flash_flaw_that_allows_webcam_spying. html) di essere già al lavoro per chiudere la falla e sostiene di poterlo fare entro la fine della settimana.

Alfonso Maruccia
Punto-informatico (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)
http://s1.punto-informatico.it/ccpi.png

wrongway
22-10-11, 08: 48
sì, è già stata risolta da Adobe: Clickjacking issue in Adobe Flash Player Settings Manager « Adobe Product Security Incident Response Team (PSIRT) Blog (http://blogs.adobe.com/psirt/2011/10/clickjacking-issue-in-adobe-flash-player-settings-manager.html)

:bai

Eres
25-10-11, 16: 59
più o meno sta cosa si sospettava, comunque finalmente un aggiornamento/patch senza installazione :ghgh

Kirk78
02-11-11, 14: 34
Quindi in realtà non era un bug del flash ma solamente un bug del Flash Player Settings Manager che risiedeva sul sito stesso di Adobe. Altrimenti lo mettevo nella discussione sulle falle di Flash (http://www.collectiontricks.it/forum/technews/Ct3319-attenzione-nuova-falla-sicurezza-adobe-flash-player-aggiornare.html). Anzi prego a chi ha novità di falle sul flash lo posti lì (http://www.collectiontricks.it/forum/technews/Ct3319-attenzione-nuova-falla-sicurezza-adobe-flash-player-aggiornare.html) così le abbiamo tutte nello stesso posto. Grazie. :bai