Clickjacking: Sicherheitsleck im Flash-Player

Adobe hat den Fehler bereits korrigiert

Durch ein Sicherheitsleck im Flash-Player war es einem Angreifer möglich, eine angeschlossene Webcam sowie ein Mikrofon zu benutzen. Dadurch konnten vertrauliche Informationen gesammelt werden. Adobe hat mittlerweile reagiert und den Fehler korrigiert.

Anzeige

Der Flash-Entwickler Guy Aharonovsky hat in seinem Blog eine Demo veröffentlicht, die das mittlerweile geschlossene Sicherheitsleck dokumentiert. Dort findet sich auch ein Video zur Arbeitsweise des Angriffs. Die Demo ist ein einfaches Flash-Spiel, bei dem der Nutzer immer wieder auf einen Button klicken muss. Im Hintergrund wird unbemerkt der Settings Manager vom Flash-Player geöffnet und einige Klicks landen dann nicht im Spiel, sondern auf dieser Einstellungsseite. Das Opfer bemerkte nicht, dass damit Einstellungen an dem Flash-Player verändert wurden.

Ein Angreifer konnte dann eine an den Computer angeschlossene Webcam oder ein Mikrofon aktivieren, um so an vertrauliche Informationen zu gelangen. Diese Angriffsmöglichkeit hat Adobe vorerst verhindert, indem der Flash Player Settings Manager überarbeitet wurde und der Einstellungsdialog nicht mehr unbemerkt verändert werden kann.


LinuS 09. Okt 2008

NoScript hatte in diesem Zusammenhang auch Probleme. Ein Update auf 1.8.2.1 ist daher...

mhmhmhmhmh 08. Okt 2008

Da war heise schneller, zum glück habe ich Noscript k.T

guter rat 08. Okt 2008

Genauso wie Javascript, HTML, PHP, JPGs, GIFs und das HTTP an sich! Bitte meide alles in...

Doubleslash 08. Okt 2008

Der Settings Manager ist serverseitig bei Adobe untergebracht und kommuniziert...

Rainer Tsuphal 08. Okt 2008

Frisch geflasht ist halb gelückt.

Kommentieren


Kugelfisch Blog / 12. Okt 2008

Clickjacking - CSRF, revisited!



Anzeige

  1. Projekt- und Prozessmanager (m/w)
    M-net Telekommunikations GmbH, München
  2. Scientific Programmer (m/w)
    CeMM Research Center for Molecular Medicine of the Austrian Academy of Sciences, Vienna (Austria)
  3. App-Entwickler (m/w)
    Jobframe GmbH, Mainz
  4. Berater Business Intelligence (m/w)
    Cassini AG, Frankfurt, Stuttgart, München, Hamburg

 

Detailsuche


Spiele-Angebote
  1. The Order: 1886 (uncut) Steelbook - [PlayStation 4]
    64,95€
  2. TOPSELLER: Titanfall Origin-Code
    9,99€
  3. Tom Clancy's Splinter Cell: Chaos Theory Download
    4,95€

 

Weitere Angebote


Folgen Sie uns
       


  1. Kickstarter

    VR-Brille Impression Pi soll Gesten erkennen

  2. Operation Eikonal

    G10-Kommission fühlt sich von BND düpiert

  3. HyperX-Serie

    Kingstons Predator ist die vorerst schnellste Consumer-SSD

  4. Forschung

    Virtuelle Nase soll gegen Simulatorkrankheit helfen

  5. 3D-NAND

    Intels Flash-Chips verdreifachen den SSD-Speicherplatz

  6. NSA-Ausschuss

    DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

  7. Mars

    Curiosity findet biologisch verwertbaren Stickstoff

  8. Benchmark

    Neue 3DMark-Szene testet API-Overhead

  9. Verschlüsselung

    RC4 erneut unter Beschuss

  10. Online-Speicherdienst

    Amazon Cloud Drive bietet unlimitierten Speicherplatz



Haben wir etwas übersehen?

E-Mail an news@golem.de



Openstack: Viele brauchen es, keiner versteht es - wir erklären es
Openstack
Viele brauchen es, keiner versteht es - wir erklären es
  1. Cebit 2015 Das Open Source Forum debattiert über Limux

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  2. Raspberry Pi 2 Fotografieren nur ohne Blitz
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  2. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück
  3. Urheberrecht Abmahnung wegen Nutzung des Facebook-Buttons bei Bild.de

  1. Re: schockiert nicht wirklich ...

    foo bar | 07:49

  2. Re: Marco Polo statt Köln 50667...

    robinx999 | 07:48

  3. Re: Weit verbreitet

    CrypTex | 07:47

  4. Re: Das Gehalt steht auf der nächsten Seite

    Oldschooler | 07:44

  5. Re: Gekauft

    Kakiss | 07:44


  1. 07:43

  2. 07:31

  3. 03:08

  4. 20:06

  5. 18:58

  6. 18:54

  7. 18:21

  8. 17:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel