新闻中心

当前位置 > 新闻中心> 软件之家 > 电脑软件 > Flash再曝漏洞 可偷偷监控摄像头
Flash再曝漏洞 可偷偷监控摄像头
2011-10-20 14:22:43   编辑:萧萧   点击可以复制本篇文章的标题和链接
 
让小伙伴们也看看:
收藏文章

Adobe正在修复一个Flash相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头,预计本周Adobe可完成该漏洞的修复工作

“该问题出现在Adobe服务器的Flash播放器设置管理器中”,Adobe的发言人Wiebke Lips 表示:“工程师正在加紧漏洞修复工作,该漏洞的修复不会涉及或需要手动产品更新,可直接在线于服务器端修复。QA工作完成后将马上发布。”

该漏洞是由斯坦福大学计算机系的学生Aboukhadiieh 发现,并在昨天的博客中公布,且包含一段视频片段。该攻击使用一种叫“clickjacking”的点击劫持方式,隐藏Flash设置管理器SWF文件在页面iFrame的后面,这样可以绕过framebusting JS代码。(文/开源中国

该漏洞攻击曾在2008年出现过,附来自Znet的早期报道:

安全专家们最近发出警告,一个最新发现的跨浏览器攻击漏洞将带来非常可怕的安全问题,该漏洞影响所有主流桌面平台, 包括IE、Firefox、Safari、Opera 以及 Adobe Flash。这个被称为Clickjacking 的安全威胁,原本要在OWASP NYC AppSec 2008 大会上公布,但包括Adobe在内的厂商请求暂时不要公开这个漏洞,直到他们开发出安全补丁。

发现这个漏洞的是两个安全研究专家,Robert Hansen与Jeremiah Grossman,他们已经略透露了一点相关信息以显示该安全威胁的严重性。

Clickjacking 到底是什么东西?

两为研究专家说,他们所发现的绝非小问题,事实上,很严重,他们在透露这些信息之前需要负起责任,这些问题一环套一环,至少已经有两家厂商表示会提供补丁,但日期未定,我们目前只和有限的几个厂家探讨这个问题,所以,问题很严重。

根据那些在 OWASP 参加过半公开性演示的人透露,这个漏洞非常紧急,将影响到所有浏览器,而且它和JavaScript并没有关系:

总的来说,当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览 器,除非你使用lynx一类的字符浏览器。这个漏洞与JavaScript 无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上 任意东西。

如果这还不能让你恐慌的话,想想这样的情形,一个用户在被攻击的时候将毫不知情而且束手无策:

比如在Ebay,因为可以嵌入JavaScript,虽然攻击并不需要 JavaScript,但可以让攻击更容易进行。只用lynx字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。

据Hansen讲,他们已经同微软以及Mozilla谈论过这个问题,然而他们均表示这是个非常棘手的问题,目前没有简单的解决办法。

文章纠错

微信公众号搜索" 驱动之家 "加关注,每日最新的手机、电脑、汽车、智能硬件信息可以让你一手全掌握。推荐关注!【微信扫描下图可直接关注

阅读更多:默认

好文共享:
收藏文章

文章观点支持

文章价值打分
当前文章打分0 分,共有0人打分
热门评论
热门文章