Хакер #305. Многошаговые SQL-инъекции
Компания Adobe выпустила обновление для своей медиа-платформы Flash Player
после обнаружения уязвимости, которая делала пользователей уязвимыми перед
шпионскими атаками при помощи камеры.
Уязвимость впервые был обнаружена студентом Стэндфордского университета по
имени Феросс Абухадидже. Согласно
Абухадидже, злоумышленник имеет возможность создать страницу, которая просит
пользователя кликнуть по окошку или предлагает поиграть в простую игру, которая
активизирует скрытое iframe окно, содержащее окно настроек Adobe Flash Player.
Когда пользователь кликает по кнопке, окно iframe позволяет зарегистрировать
клик как авторизацию для активации пользовательской веб-камеры и микрофона.
Абухадидже сравнил атаку с "кликджекингом", механизмом обмана, когда
пользовательские клики по кнопкам фиксируются скрытым окном для выполнения таких
задач, как активизация рекламы или распространение информации на сайтах
социальных сетей.
Исследователь сказал, что он сообщил о проблеме лично Adobe несколько недель
назад, но не получил никакого ответа. Согласно представителю Adobe, ошибка связи
помешала компании получить сообщение Абухадидже. "Email с докладом был отправлен
сотруднику Adobe, который находился в длительном отпуске", - заявил
представитель. "О проблеме не было сообщено группе реагирования на инциденты в
области информационной безопасности (Adobe Product Security Incident Response
Team, PSIRT), куда отправляются все сообщения об уязвимостях".
Компании удалось опубликовать обновленный SWF файл в четверг днем по
тихоокеанскому времени. Компания сообщила, что обновленный файл размещен на ее
серверах и не требуется никаких взаимодействий с пользователями, чтобы запатчить
уязвимость.