Злоумышленники могли следить за жертвами через web-камеру

Ошибка в Flash Player позволяла владельцам сайтов следить за посетителями через их же web-камеру и микрофон.

Компания Adobe устранила ошибку Flash Player, которая позволяла владельцам web-сайтов следить за пользователями через их же web-камеру и микрофон. Для эксплуатации уязвимости злоумышленник должен был завлечь пользователя на вредоносный сайт и обманом заставить его нажать на несколько кнопок. Камера и микрофон посетителя включались без предупреждения.

По данным компании Adobe, уязвимость существует из-за ошибки в Flash Player Settings Manager. В данной панели хранится список web-страниц, которые могут получать доступ к камере и микрофону пользователя. Выходные данные передаются сторонним web-сайтам в формате SWF, используемым Flash.

Студент факультета компьютерных наук Стэндфордского университета Феросс Абоукхадижех (Feross Aboukhadijeh), обнаружил возможность вставки SWF-файла в качестве скрытого iframe. Таким образом, ему удалось поместить на web-страницу недействительные данные, способные запутать пользователя, заставив его изменить личные настройки.

Ввиду того, что менеджер настроек находится на серверах Adobe, для его обновления не пришлось вносить изменения в программное обеспечение конечного пользователя. Обновление было внесено в четверг, 20 октября.

Tweet