Ник: -Bacardi- | Дата: 23.10.2011, 17:53 | Сообщение #1
|
|
Компания Adobe начала спешную работу над устранением неприятной уязвимости в одной из своих самых известных технологий Flash Player. Благодаря этой узявимости злоумышленники могли скрытно активировать микрофоны и веб-камеры на компьютерах конечных пользователей, используя метод так называемой «кражи кликов» (clickjacking). Обнаружил уязвимость студент Стэнфордского университета Феросс Абухадижи (Feross Aboukhadijeh), создавший пример взлома на базе алгоритма, раскрытого еще в 2008 анонимным исследователем.
Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.
Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.
Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.
По материалам сайтов BetaNews, PC World и CNET.
| |
Ник: HeRo_0INe | Дата: 23.10.2011, 19:30 | Сообщение #2
0___o
|
а у меня в 8 году небыло вебки, а сейчас эта атака есть? 
Друг: Думаю надо извиниться. А ты как считаешь?
Я: На калькуляторе.
Друг: Я серьёзно.
Я: Ну иногда столбиком :DAAA
| |
Ник: -Bacardi- | Дата: 23.10.2011, 19:32 | Сообщение #3
|
|
HeRo_0INe, Quote (TomyDreamer) Компания Adobe начала спешную работу над устранением неприятной уязвимости
| |
Ник: HeRo_0INe | Дата: 23.10.2011, 19:37 | Сообщение #4
0___o
|
TomyDreamer, ну она ее закончила?
Друг: Думаю надо извиниться. А ты как считаешь?
Я: На калькуляторе.
Друг: Я серьёзно.
Я: Ну иногда столбиком :DAAA
| |
Ник: -Bacardi- | Дата: 23.10.2011, 19:46 | Сообщение #5
|
|
| |
Ник: HeRo_0INe | Дата: 23.10.2011, 19:58 | Сообщение #6
0___o
|
Друг: Думаю надо извиниться. А ты как считаешь?
Я: На калькуляторе.
Друг: Я серьёзно.
Я: Ну иногда столбиком :DAAA
| |
