Adobe heeft een waarschuwing de deur uit gedaan voor een kritiek lek in haar Flash Player. Het bedrijf waarschuwt mensen dat hackers door hen ergens op te laten klikken toegang kunnen verschaffen tot de microfoons en webcams waar de desbetreffende persoon over beschikt. Zij kunnen hier ook de controle van overnemen.
Deze waarschuwing is gelanceerd vlak nadat er een ‘proof of concept’-code verschenen is die duidelijk laat zien hoe de hack mogelijk is.
De aanval, die de naam ClickJacking meegekregen heeft, maakt gebruik van twee scriptingtalen waaronder JavaScript. Met deze talen wordt de gebruiker overgehaald om te klikken op onzichtbare links die verborgen zijn door grafische elementen of andere vensters. De gebruiker denkt op deze manier dat hij op een ander element klikt, maar in werkelijkheid wordt hij doorgestuurd naar een ander frame. Dergelijke exploits zijn al langer op het internet, maar dit is de eerste keer dat Adobe Flash hiermee in aanraking komt.
Guy Aharonovsky had in eerste instantie zijn ‘proof of concept’-code op het internet gezet. Op dit moment is echter enkel nog een link te vinden naar een video op Youtube waarin hij alles duidelijk laat zien. Het spel staat wel nog op zijn website, hij werkt echter niet meer. Wel is nog altijd duidelijk te zien dat het gewoon een normaal spel lijkt, niets is echter minder waar. Onder het spel bevindt zich een iFrame die er voor zorgde dat er andere websites geopend werden wanneer er geklikt werd.
Adobe zelf geeft credits aan vijf mensen waaronder Jeremiah Grossman en Robert Hansen van WhiteHat Security. Zij zouden eigenlijk een presentatie hierover geven op de AppSec-conferentie in New York afgelopen maand, maar heeft dit afgezegd op advies van Adobe. Sinds dat moment heeft Hansen meer informatie gepubliceerd op zijn blog.
Alle versies van Adobe Flash Player onder versie 9.0.124.0 zijn kwetsbaar en worden door Adobe geadviseerd om naar het Flash Player settingmenu te gaan en "Always deny" aan te vinken in het Global Privacy Settings-venster. Op deze manier zullen webcams en microfoons nooit gebruikt mogen worden en is dit wellicht een tijdelijke oplossing totdat Adobe met een permanente oplossing komt.
1 uur geleden
