Eine Clickjacking-Lücke in Adobe Flash, durch die Angreifer ihre Opfer unbemerkt mittels Kamera und Mikrofon ausspionieren konnten, hat Adobe geschlossen. Der Stanford-Student Feross Aboukhadijeh, der die Details zu seinem Fund am vergangenen Dienstag in seinem Blog veröffentlicht hat, hat die Lücke entdeckt.

Kamera und Mikrofon sind standardmäßig deaktiviert und lassen sich normalerweise nur vom Anwender aktivieren. Der Angreifer präsentiert auf einer präparierten Webseite ein einfaches Klick-Spiel, das den Besucher dazu auffordert, mit der Maus auf eine Reihe von Buttons zu klicken, damit der Anwender Webcam und Mikro aktiviert. Die Webseite leitet im Hintergrund auf das Einstellungsmenü von Adobe Flash um, das in ein unsichtbares iFrame geladen wurde. Der Besucher räumt dadurch der Webseite nach und nach das Recht ein, die Video- und Audioeingabegeräte anzuzapfen. Durch ein Update der beim Hersteller gehosteten Flash-Datei hat Adobe das Problem nun behoben. Deshalb ist eine Aktualisierung des Flash-Players nicht nötig.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE