Flash-Lücke ermöglichte Spionage via Webcam
Eine Schwachstelle in Adobes allgegenwärtigem Flash-Player erlaubte jüngst Website-Betreibern nach Angaben eines Sicherheitsexperten, die Webcam und das Mikrofon der Computer von Internet-Nutzern ohne deren Wissen anzuzapfen.
Damit dies funktionierte, musste der Anwender lediglich eine speziell präparierte Website besuchen und bestimmte Schaltflächen anklicken. Ohne eine weitere Warnung wurden dadurch die Webcam und das Mikrofon aktiviert, so dass ein Angreifer die entsprechenden Streams mitschneiden konnte.
Im Jahr 2008 war bereits eine ähnliche Clickjacking-Lücke im Flash-Player aufgetreten. Adobe hat nach eigenen Angaben bereits einen entsprechenden Fix für die Schwachstelle entwickelt und seine Systeme bereits aktualisiert. Die Lücke geht auf Fehler im Einstellungs-Manager des Flash-Players zurück.
Das Menü, über das der Anwender festlegen kann, welche Sites die Webcam und das Mikrofon als Quellen nutzen können, wird im von Flash selbst verwendeten SWF-Format bereitgestellt. Der Student Feross Aboukhadijeh von der Stanford-Universität fand heraus, dass sich die SWF-Datei in einem unsichtbaren iFrame hinter entsprechend präparierten Grafiken verstecken ließ. Der Anwender würde bei diesem Ansatz ohne sein Wissen die Privatsphäreneinstellungen des Flash-Players ändern, während er glaubt einfach nur eine Schaltfläche auf der Website zu bedienen.
Der Settings-Manager des Adobe Flash Player wird auf den Servern des Unternehmens gehostet. Die Entwickler von Adobe waren deshalb in der Lage, die Schwachstelle ohne ein Update der auf den Rechnern der Nutzer installierten Software zu schließen, so Firmensprecherin Wiebke Lips in einer Stellungnahme. Die Fehlerbehebung erfolgte bereits gestern am frühen Nachmittag, zwei Tage nachdem Aboukhadijeh seine Erkenntnisse über sein Weblog veröffentlichte.
Der Student nutzte für seinen Exploit den "Transparent-Mode" des Flash-Players, bei dem bis gestern wichtige Einstellungen auch dann vorgenommen werden konnten, wenn das Einstellungsmenü versteckt angezeigt wurde. Aboukhadijeh zufolge funktionierte der Angriff nur bei Apple Mac-Systemen in Verbindung mit den Browsern Safari und Firefox. Ein CSS-Bug sorgte dafür, dass der Fehler nicht bei anderen Betriebssystemen und Browsern ausgenutzt werden konnte. Durch weitere Nachforschungen hätte allerdings die Gefahr bestanden, die Methode universeller einsetzbar zu machen.
Der Student hatte die Informationen zu der Lücke erst veröffentlicht, nachdem er Adobe informiert, aber einige Wochen lang keine Antwort des Softwareherstellers erhalten hatte.
Im Jahr 2008 war bereits eine ähnliche Clickjacking-Lücke im Flash-Player aufgetreten. Adobe hat nach eigenen Angaben bereits einen entsprechenden Fix für die Schwachstelle entwickelt und seine Systeme bereits aktualisiert. Die Lücke geht auf Fehler im Einstellungs-Manager des Flash-Players zurück.
Das Menü, über das der Anwender festlegen kann, welche Sites die Webcam und das Mikrofon als Quellen nutzen können, wird im von Flash selbst verwendeten SWF-Format bereitgestellt. Der Student Feross Aboukhadijeh von der Stanford-Universität fand heraus, dass sich die SWF-Datei in einem unsichtbaren iFrame hinter entsprechend präparierten Grafiken verstecken ließ. Der Anwender würde bei diesem Ansatz ohne sein Wissen die Privatsphäreneinstellungen des Flash-Players ändern, während er glaubt einfach nur eine Schaltfläche auf der Website zu bedienen.
Der Settings-Manager des Adobe Flash Player wird auf den Servern des Unternehmens gehostet. Die Entwickler von Adobe waren deshalb in der Lage, die Schwachstelle ohne ein Update der auf den Rechnern der Nutzer installierten Software zu schließen, so Firmensprecherin Wiebke Lips in einer Stellungnahme. Die Fehlerbehebung erfolgte bereits gestern am frühen Nachmittag, zwei Tage nachdem Aboukhadijeh seine Erkenntnisse über sein Weblog veröffentlichte.
Der Student nutzte für seinen Exploit den "Transparent-Mode" des Flash-Players, bei dem bis gestern wichtige Einstellungen auch dann vorgenommen werden konnten, wenn das Einstellungsmenü versteckt angezeigt wurde. Aboukhadijeh zufolge funktionierte der Angriff nur bei Apple Mac-Systemen in Verbindung mit den Browsern Safari und Firefox. Ein CSS-Bug sorgte dafür, dass der Fehler nicht bei anderen Betriebssystemen und Browsern ausgenutzt werden konnte. Durch weitere Nachforschungen hätte allerdings die Gefahr bestanden, die Methode universeller einsetzbar zu machen.
Der Student hatte die Informationen zu der Lücke erst veröffentlicht, nachdem er Adobe informiert, aber einige Wochen lang keine Antwort des Softwareherstellers erhalten hatte.
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Videobearbeitung:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
#WordCamp Europe 2026 - vom 4 - 6 Juni 2026 in Krakau
d-hubs - vor 2 Stunden -
Wie kann ich die Untertitel einem Video hinzufügen?
MiezMau - vor 2 Stunden -
Armbian Release 26.5.1 :: Unterstützung auf 338 Board
d-hubs - Gestern 19:38 Uhr -
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs - Gestern 17:46 Uhr -
RapidRAW v1.5.6 wurde vor ein paar Stunden veröffentlicht
d-hubs - Gestern 11:59 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen