Clickjacking: Sicherheitsleck im Flash-Player

Adobe hat den Fehler bereits korrigiert

Durch ein Sicherheitsleck im Flash-Player war es einem Angreifer möglich, eine angeschlossene Webcam sowie ein Mikrofon zu benutzen. Dadurch konnten vertrauliche Informationen gesammelt werden. Adobe hat mittlerweile reagiert und den Fehler korrigiert.

Anzeige

Der Flash-Entwickler Guy Aharonovsky hat in seinem Blog eine Demo veröffentlicht, die das mittlerweile geschlossene Sicherheitsleck dokumentiert. Dort findet sich auch ein Video zur Arbeitsweise des Angriffs. Die Demo ist ein einfaches Flash-Spiel, bei dem der Nutzer immer wieder auf einen Button klicken muss. Im Hintergrund wird unbemerkt der Settings Manager vom Flash-Player geöffnet und einige Klicks landen dann nicht im Spiel, sondern auf dieser Einstellungsseite. Das Opfer bemerkte nicht, dass damit Einstellungen an dem Flash-Player verändert wurden.

Ein Angreifer konnte dann eine an den Computer angeschlossene Webcam oder ein Mikrofon aktivieren, um so an vertrauliche Informationen zu gelangen. Diese Angriffsmöglichkeit hat Adobe vorerst verhindert, indem der Flash Player Settings Manager überarbeitet wurde und der Einstellungsdialog nicht mehr unbemerkt verändert werden kann.


LinuS 09. Okt 2008

NoScript hatte in diesem Zusammenhang auch Probleme. Ein Update auf 1.8.2.1 ist daher...

mhmhmhmhmh 08. Okt 2008

Da war heise schneller, zum glück habe ich Noscript k.T

guter rat 08. Okt 2008

Genauso wie Javascript, HTML, PHP, JPGs, GIFs und das HTTP an sich! Bitte meide alles in...

Doubleslash 08. Okt 2008

Der Settings Manager ist serverseitig bei Adobe untergebracht und kommuniziert...

Rainer Tsuphal 08. Okt 2008

Frisch geflasht ist halb gelückt.

Kommentieren


Kugelfisch Blog / 12. Okt 2008

Clickjacking - CSRF, revisited!



Anzeige

  1. Security Engineer (m/w) Testing & Vulnerability Management
    ING-DiBa AG, Frankfurt oder Nürnberg
  2. Abteilungsleiter (m/w) IT-Betrieb
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  3. Softwareentwickler für Embedded / USB (m/w)
    AVM GmbH, Berlin
  4. IT-Security Spezialist Telematikplattform (m/w)
    Daimler AG, Stuttgart

 

Detailsuche


Blu-ray-Angebote
  1. Game of Thrones - Die komplette 4. Staffel [Blu-ray]
    38,99€
  2. Musik-Blu-rays reduziert
    (u. a. Metallica 8,97€, Bee Gees 9,99€, Bruce Springsteen 9,97€, Alanis Morissette 9,05€)
  3. 4 Blu-rays für 30 EUR
    (u. a. Django Unchained, Rush, Das erstaunliche Leben des Walter Mitty,

 

Weitere Angebote


Folgen Sie uns
       


  1. Maxwell-Grafikkarte

    Die Geforce GTX 970 hat ein kurioses Videospeicher-Problem

  2. Patentanmeldung

    Apples Smart Cover soll wirklich schlau werden

  3. OS X

    Apple will Thunderstrike-Exploits mit Patch verhindern

  4. Soziales Netzwerk

    Justizministerium kritisiert Facebooks neue AGB

  5. Raumfahrt

    Nasa will Mars-Rover mit Helikopter ausstatten

  6. Windows Phone und Tablets

    Die Dropbox-App ist da

  7. Sony Alpha 7 II im Test

    Fast ins Schwarze getroffen

  8. Apple

    Homekit will nicht in jedes Smart Home einziehen

  9. Firmware

    Update für Samsungs NX1 verbessert Videofunktionen enorm

  10. Systemkamera

    Olympus kündigt neues Modell im OM-D-System an



Haben wir etwas übersehen?

E-Mail an news@golem.de



In eigener Sache: Golem pur - eine erste Bilanz
In eigener Sache
Golem pur - eine erste Bilanz
  1. Internet im Flugzeug Gogo benutzt gefälschte SSL-Zertifikate für Youtube
  2. Golem.de 2014 Ein Blick in unsere Zahlen
  3. In eigener Sache Schöne Feiertage!

Filmkritik: In Blackhat steht die Welt am Abgrund
Filmkritik
In Blackhat steht die Welt am Abgrund
  1. Cyberwaffe NSA-Tool Regin im Kanzleramt entdeckt
  2. Rocket Kitten Die Geschichte einer Malware-Analyse
  3. Cyberwaffe Attacke auf EU-Kommission wohl mit NSA- und GCHQ-Tool Regin

Touchboard: Die berührungsempfindliche Märchentante
Touchboard
Die berührungsempfindliche Märchentante
  1. Programmieren mit dem Dilduino Der Vibrator für technische Spielereien
  2. Lehrreiche Geschenke Stille Nacht, Bastelnacht
  3. Circuitscribe ausprobiert Stromkreise malen für Teenies

    •  / 
    Zum Artikel