- Inscrit
- 18 Août 2010
- messages
- 2,833
- Score de réaction
- 117
- Points
- 63
- Age
- 52
- Localisation
- Россия, Республика Саха (Якутия) Саратовская облас
- Site web
- Odis11.ru
Adobe a commencé à travailler à la hâte pour corriger une vulnérabilité désagréable dans l'une de ses technologies les plus célèbres, Flash Player. Grâce à cette subtilité, les attaquants pouvaient activer secrètement des microphones et des webcams sur les ordinateurs des utilisateurs finaux en utilisant la méthode dite de «détournement de clics». Un étudiant en vulnérabilité de l'Université de Stanford, Feross Abuhadiji (Feross Aboukhadijeh), qui a créé un exemple de piratage basé sur un algorithme découvert en 2008 par un chercheur anonyme, a découvert la vulnérabilité.
Techniquement, le «vol de clic» est un type d'attaque qui combine les capacités complètement légales des applications Web, y compris la définition de la transparence et le positionnement des éléments à l'aide de styles CSS, ainsi que les méthodes d'ingénierie sociale qui incitent les utilisateurs à effectuer des actions inutiles. Par exemple, cela a été utilisé pour forcer les utilisateurs des réseaux sociaux à «mettre des avantages» sur de fausses pages ou à placer des spams par eux-mêmes - les boutons correspondants ont simplement été rendus transparents et superposés sur des éléments complètement inoffensifs.
L'attaque de 2008 contre les webcams a été créée à l'aide de l'utilitaire Adobe Flash Player Settings Manager, qui est en fait une page Web sur le site Web d'Adobe. Il a été affiché dans un Iframe invisible, et à la suite d'une tromperie, l'utilisateur lui-même a activé l'accès à son microphone et à sa webcam. Ensuite, un jeu écrit en JavaScript a été utilisé pour tromper, et certains clics de souris y ont vraiment fonctionné, tandis que d'autres ont été redirigés vers un cadre invisible. Par conséquent, Adobe a introduit un code spécial dans la boîte de dialogue Gestionnaire de paramètres de Flash Player qui empêche cette page d'être insérée dans des cadres invisibles.
Malgré les mesures prises, Abuhadiji a constaté que tous les paramètres d'accès sont stockés dans un fichier SWF normal (Shockwave Flash) et peuvent être chargés directement dans le cadre, sans le reste de la page Web. En conséquence, il devient possible de contourner le code Adobe qui protège contre l'insertion dans des cadres. En fait, la même vulnérabilité est utilisée qu'en 2008, seul le vecteur d'attaque est choisi légèrement différent. Abuhadiji lui-même a admis qu'il était surpris par le fonctionnement de son programme. L'auteur affirme avoir informé Adobe de la vulnérabilité trouvée, mais n'a reçu aucune réponse. Ce n'est qu'après l'annonce publique qu'Adobe a atteint Abuhadiji pour les informer des travaux visant à rectifier la situation. Il est supposé que pour contourner la vulnérabilité, les utilisateurs n'ont pas à mettre à jour leurs copies de Flash Player.
Basé sur des matériaux de BetaNews, PC World et CNET.
Techniquement, le «vol de clic» est un type d'attaque qui combine les capacités complètement légales des applications Web, y compris la définition de la transparence et le positionnement des éléments à l'aide de styles CSS, ainsi que les méthodes d'ingénierie sociale qui incitent les utilisateurs à effectuer des actions inutiles. Par exemple, cela a été utilisé pour forcer les utilisateurs des réseaux sociaux à «mettre des avantages» sur de fausses pages ou à placer des spams par eux-mêmes - les boutons correspondants ont simplement été rendus transparents et superposés sur des éléments complètement inoffensifs.
L'attaque de 2008 contre les webcams a été créée à l'aide de l'utilitaire Adobe Flash Player Settings Manager, qui est en fait une page Web sur le site Web d'Adobe. Il a été affiché dans un Iframe invisible, et à la suite d'une tromperie, l'utilisateur lui-même a activé l'accès à son microphone et à sa webcam. Ensuite, un jeu écrit en JavaScript a été utilisé pour tromper, et certains clics de souris y ont vraiment fonctionné, tandis que d'autres ont été redirigés vers un cadre invisible. Par conséquent, Adobe a introduit un code spécial dans la boîte de dialogue Gestionnaire de paramètres de Flash Player qui empêche cette page d'être insérée dans des cadres invisibles.
Malgré les mesures prises, Abuhadiji a constaté que tous les paramètres d'accès sont stockés dans un fichier SWF normal (Shockwave Flash) et peuvent être chargés directement dans le cadre, sans le reste de la page Web. En conséquence, il devient possible de contourner le code Adobe qui protège contre l'insertion dans des cadres. En fait, la même vulnérabilité est utilisée qu'en 2008, seul le vecteur d'attaque est choisi légèrement différent. Abuhadiji lui-même a admis qu'il était surpris par le fonctionnement de son programme. L'auteur affirme avoir informé Adobe de la vulnérabilité trouvée, mais n'a reçu aucune réponse. Ce n'est qu'après l'annonce publique qu'Adobe a atteint Abuhadiji pour les informer des travaux visant à rectifier la situation. Il est supposé que pour contourner la vulnérabilité, les utilisateurs n'ont pas à mettre à jour leurs copies de Flash Player.
Basé sur des matériaux de BetaNews, PC World et CNET.
Original message
Компания Adobe начала спешную работу над устранением неприятной уязвимости в одной из своих самых известных технологий Flash Player. Благодаря этой узявимости злоумышленники могли скрытно активировать микрофоны и веб-камеры на компьютерах конечных пользователей, используя метод так называемой «кражи кликов» (clickjacking). Обнаружил уязвимость студент Стэнфордского университета Феросс Абухадижи (Feross Aboukhadijeh), создавший пример взлома на базе алгоритма, раскрытого еще в 2008 анонимным исследователем.
Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.
Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.
Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.
По материалам сайтов BetaNews, PC World и CNET.
Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.
Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.
Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.
По материалам сайтов BetaNews, PC World и CNET.
