- Mitglied seit
- 18.08.2010
- Beiträge
- 2.833
- Punkte für Reaktionen
- 118
- Punkte
- 63
- Alter
- 52
- Website
- Odis11.ru
Adobe hat hastig damit begonnen, eine unangenehme Sicherheitslücke in einer seiner bekanntesten Technologien, dem Flash Player, zu beheben. Dank dieser Subtilität konnten Angreifer Mikrofone und Webcams auf Endbenutzercomputern mithilfe der sogenannten „Clickjacking“ -Methode verdeckt aktivieren. Die Sicherheitslücke wurde von einem Studenten der Stanford University, Feross Aboukhadijeh, entdeckt, der ein Beispiel für Hacking auf der Grundlage eines Algorithmus erstellte, der 2008 von einem anonymen Forscher entdeckt wurde.
Technisch gesehen ist „Click Stealing“ eine Art von Angriff, bei dem die völlig legalen Funktionen von Webanwendungen kombiniert werden, einschließlich der Einstellung von Transparenz und Positionierung von Elementen mithilfe von CSS-Stilen sowie Social-Engineering-Methoden, die Benutzer dazu verleiten, unnötige Aktionen auszuführen. Dies wurde zum Beispiel verwendet, um Benutzer von sozialen Netzwerken zu zwingen, Pluspunkte auf falsche Seiten zu setzen oder Spam selbst zu platzieren - die entsprechenden Schaltflächen wurden einfach transparent gemacht und über völlig harmlose Elemente gelegt.
Der Angriff von 2008 auf Webcams wurde mit dem Dienstprogramm Adobe Flash Player Settings Manager erstellt, bei dem es sich tatsächlich um eine Webseite auf der Adobe-Website handelt. Es wurde in einem unsichtbaren Iframe angezeigt, und als Ergebnis einer Täuschung schaltete der Benutzer selbst den Zugriff auf sein Mikrofon und seine Webcam ein. Dann wurde ein in JavaScript geschriebenes Spiel verwendet, um zu täuschen, und einige Mausklicks funktionierten wirklich darin, während andere in einen unsichtbaren Rahmen umgeleitet wurden. Infolgedessen hat Adobe im Dialogfeld "Flash Player-Einstellungsmanager" einen speziellen Code eingeführt, der verhindert, dass diese Seite in unsichtbare Frames eingefügt wird.
Trotz der ergriffenen Maßnahmen stellte Abuhadiji fest, dass alle Zugriffsparameter in einer regulären SWF-Datei (Shockwave Flash) gespeichert sind und ohne den Rest der Webseite direkt in den Frame geladen werden können. Dadurch wird es möglich, Adobe-Code zu umgehen, der vor dem Einfügen in Frames schützt. Tatsächlich wird dieselbe Sicherheitsanfälligkeit wie 2008 verwendet, nur der Angriffsvektor wird geringfügig anders ausgewählt. Abuhadiji selbst gab zu, dass er von der Funktionsweise seines Programms überrascht war. Der Autor behauptet, Adobe über die gefundene Sicherheitsanfälligkeit informiert zu haben, erhielt jedoch keine Antwort. Erst nach der öffentlichen Ankündigung erreichte Adobe Abuhadiji, um sie über Arbeiten zur Behebung der Situation zu informieren. Es wird davon ausgegangen, dass Benutzer ihre Kopien von Flash Player nicht aktualisieren müssen, um die Sicherheitsanfälligkeit zu umgehen.
Basierend auf Materialien von BetaNews, PC World und CNET.
Technisch gesehen ist „Click Stealing“ eine Art von Angriff, bei dem die völlig legalen Funktionen von Webanwendungen kombiniert werden, einschließlich der Einstellung von Transparenz und Positionierung von Elementen mithilfe von CSS-Stilen sowie Social-Engineering-Methoden, die Benutzer dazu verleiten, unnötige Aktionen auszuführen. Dies wurde zum Beispiel verwendet, um Benutzer von sozialen Netzwerken zu zwingen, Pluspunkte auf falsche Seiten zu setzen oder Spam selbst zu platzieren - die entsprechenden Schaltflächen wurden einfach transparent gemacht und über völlig harmlose Elemente gelegt.
Der Angriff von 2008 auf Webcams wurde mit dem Dienstprogramm Adobe Flash Player Settings Manager erstellt, bei dem es sich tatsächlich um eine Webseite auf der Adobe-Website handelt. Es wurde in einem unsichtbaren Iframe angezeigt, und als Ergebnis einer Täuschung schaltete der Benutzer selbst den Zugriff auf sein Mikrofon und seine Webcam ein. Dann wurde ein in JavaScript geschriebenes Spiel verwendet, um zu täuschen, und einige Mausklicks funktionierten wirklich darin, während andere in einen unsichtbaren Rahmen umgeleitet wurden. Infolgedessen hat Adobe im Dialogfeld "Flash Player-Einstellungsmanager" einen speziellen Code eingeführt, der verhindert, dass diese Seite in unsichtbare Frames eingefügt wird.
Trotz der ergriffenen Maßnahmen stellte Abuhadiji fest, dass alle Zugriffsparameter in einer regulären SWF-Datei (Shockwave Flash) gespeichert sind und ohne den Rest der Webseite direkt in den Frame geladen werden können. Dadurch wird es möglich, Adobe-Code zu umgehen, der vor dem Einfügen in Frames schützt. Tatsächlich wird dieselbe Sicherheitsanfälligkeit wie 2008 verwendet, nur der Angriffsvektor wird geringfügig anders ausgewählt. Abuhadiji selbst gab zu, dass er von der Funktionsweise seines Programms überrascht war. Der Autor behauptet, Adobe über die gefundene Sicherheitsanfälligkeit informiert zu haben, erhielt jedoch keine Antwort. Erst nach der öffentlichen Ankündigung erreichte Adobe Abuhadiji, um sie über Arbeiten zur Behebung der Situation zu informieren. Es wird davon ausgegangen, dass Benutzer ihre Kopien von Flash Player nicht aktualisieren müssen, um die Sicherheitsanfälligkeit zu umgehen.
Basierend auf Materialien von BetaNews, PC World und CNET.
Original message
Компания Adobe начала спешную работу над устранением неприятной уязвимости в одной из своих самых известных технологий Flash Player. Благодаря этой узявимости злоумышленники могли скрытно активировать микрофоны и веб-камеры на компьютерах конечных пользователей, используя метод так называемой «кражи кликов» (clickjacking). Обнаружил уязвимость студент Стэнфордского университета Феросс Абухадижи (Feross Aboukhadijeh), создавший пример взлома на базе алгоритма, раскрытого еще в 2008 анонимным исследователем.
Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.
Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.
Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.
По материалам сайтов BetaNews, PC World и CNET.
Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.
Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.
Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.
По материалам сайтов BetaNews, PC World и CNET.
