Clickjacking: Sicherheitsleck im Flash-Player

Adobe hat den Fehler bereits korrigiert

Durch ein Sicherheitsleck im Flash-Player war es einem Angreifer möglich, eine angeschlossene Webcam sowie ein Mikrofon zu benutzen. Dadurch konnten vertrauliche Informationen gesammelt werden. Adobe hat mittlerweile reagiert und den Fehler korrigiert.

Anzeige

Der Flash-Entwickler Guy Aharonovsky hat in seinem Blog eine Demo veröffentlicht, die das mittlerweile geschlossene Sicherheitsleck dokumentiert. Dort findet sich auch ein Video zur Arbeitsweise des Angriffs. Die Demo ist ein einfaches Flash-Spiel, bei dem der Nutzer immer wieder auf einen Button klicken muss. Im Hintergrund wird unbemerkt der Settings Manager vom Flash-Player geöffnet und einige Klicks landen dann nicht im Spiel, sondern auf dieser Einstellungsseite. Das Opfer bemerkte nicht, dass damit Einstellungen an dem Flash-Player verändert wurden.

Ein Angreifer konnte dann eine an den Computer angeschlossene Webcam oder ein Mikrofon aktivieren, um so an vertrauliche Informationen zu gelangen. Diese Angriffsmöglichkeit hat Adobe vorerst verhindert, indem der Flash Player Settings Manager überarbeitet wurde und der Einstellungsdialog nicht mehr unbemerkt verändert werden kann.


LinuS 09. Okt 2008

NoScript hatte in diesem Zusammenhang auch Probleme. Ein Update auf 1.8.2.1 ist daher...

mhmhmhmhmh 08. Okt 2008

Da war heise schneller, zum glück habe ich Noscript k.T

guter rat 08. Okt 2008

Genauso wie Javascript, HTML, PHP, JPGs, GIFs und das HTTP an sich! Bitte meide alles in...

Doubleslash 08. Okt 2008

Der Settings Manager ist serverseitig bei Adobe untergebracht und kommuniziert...

Rainer Tsuphal 08. Okt 2008

Frisch geflasht ist halb gelückt.

Kommentieren


Mr. Foo / 23. Feb 2009

Clickjacking in Firefox mit Demo

Kugelfisch Blog / 12. Okt 2008

Clickjacking - CSRF, revisited!



Anzeige

  1. Softwareentwickler (m/w) als kreativer Kopf für Testsysteme
    Vector Informatik GmbH, Stuttgart
  2. Referent Servicemanagement Telefonie (m/w)
    CosmosDirekt, Saarbrücken
  3. Qualitätsmanager (m/w) für unsere Kundenprojekte
    Lufthansa Systems AS GmbH, Frankfurt am Main oder Hamburg
  4. IT-Business Analyst (m/w)
    LS travel retail Deutschland GmbH, Wiesbaden

 

Detailsuche


Folgen Sie uns
       


  1. Oneplus One

    Eigenes ROM mit Stock Android 4.4.4 vorgestellt

  2. Eric Anholt

    Langsamer Fortschritt bei Raspberry-Pi-Grafiktreiber

  3. Teilchenbeschleuniger

    China will Higgs-Fabrik bauen

  4. Europäische Zentralbank

    20.000 Kontaktdaten von Internetserver geklaut

  5. Krise

    Ryse-Producer wendet sich von Crytek ab

  6. Luftverkehr

    Innenministerium will Laserpointer als Waffen einstufen

  7. Überwachungssoftware

    Ein warmes Mittagessen für den Staatstrojaner

  8. Google Maps

    Neue Entdecken-Funktion zeigt Umgebungshighlights an

  9. Mobilfunkbetreiber ausgetrickst

    Apple will mobiles Bezahlen per iPhone ermöglichen

  10. Angriff über Plugin

    Zahlreiche Wordpress-Webseiten wurden kompromittiert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Die Fast-alles-Rechner
Quantencomputer
Die Fast-alles-Rechner
  1. Quantencomputer Der Wundercomputer, der wohl keiner ist
  2. Das A-Z der NSA-Affäre Fantastigabyte, Kühlschrank und Trennschleifer
  3. Quantencomputer Schlüssel knacken mit Quanten-Diamanten

Nokia Lumia 930 im Test: Das Beste zum Schluss
Nokia Lumia 930 im Test
Das Beste zum Schluss
  1. Lumia 930 Nokias Windows-Phone-Referenz ab kommender Woche erhältlich
  2. Nokia Lumia 930 Windows-Phone-Referenzklasse kommt im Juli
  3. Smartphone Das schnellere 64-Bit-Déjà-vu

Defense Grid 2 angespielt: Kerne, Türme, Aliens
Defense Grid 2 angespielt
Kerne, Türme, Aliens
  1. Areal Betrugsverdacht beim Actionspiel Areal
  2. Ex-Stalker Vorwürfe gegen Actionspiel-Projekt Areal
  3. Crowdfunding Kickstarter unterstützt ab Herbst deutsche Projekte

    •  / 
    Zum Artikel