Un fallo en Adobe Flash permite activar de forma remota la webcam

Iniciado por wolfbcn, 21 Octubre 2011, 18:00 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Publicado el 21 de octubre de 2011 por Helga Yagüe

En los últimos meses Adobe Systems ha tenido que solventar varias vulnerabilidades en sus productos, la última de ellas ha sido un fallo de Flash que podía permitir a los ciberdelincuentes (o ciberespías) activar la webcam y el micrófono de sus víctimas.

Esta nueva vulnerabilidad ha sido descubierta por un estudiante de la Universidad de Stanford, Feross Aboukhadijeh, que dio la voz de alarma a través de su propio blog y publicó un vídeo para demostrar la existencia del fallo.

Para llevar a cabo este ataque se utiliza la técnica conocida como "clickjacking", que se ha hecho popular en redes sociales como Facebook y consiste básicamente en engañar a los usuarios escondiendo código malicioso en zonas de las páginas que son aparentemente inofensivas como el botón "me gusta" de Facebook.

En este caso concreto, el código estaba camuflado en una serie de botones de un juego de manera que cuando la víctima seleccionase dichos botones se activara su webcam o su micrófono sin que fuera consciente.

La compañía ha reconocido la existencia de este problema de seguridad, aunque han aclarado que el fallo se encuentra en Flash Player Settings Manager de los servidores de Adobe y no en el software ni en los ordenadores de los usuarios.

En este sentido, afirman que ya han encontrado el origen de la vulnerabilidad y que han logrado solucionarlo. "Hemos resuelto el problema con un cambio en el Flash Player Settings Manager SWF alojado en el sitio web de Adobe", afirman desde la compañía, "no se requiere ninguna acción del usuario o la actualización de Flash".

vINQulos

Adobe, Cnet

FUENTE :http://www.theinquirer.es/2011/10/21/un-fallo-en-adobe-flash-permite-activar-de-forma-remota-la-webcam.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

dimitrix

¿Qué sentido tiene que tengan que pulsar un botón flash?

Es decir, si el botón lanza una acción Action Script (en lo que haga), acaso no podría hacerlo la propia aplicación al iniciar?




WHK

Por seguridad no, es como si te dijera que si le haces click a un botón de tipo file te manda a seleccionar un archivo desde la commondialog pero no puedes hacer que se autoclickee solo o que solito salga esa ventana o se seleccione un archivo, son politicas de seguridad que existen en todos lados y a flash se le ha escapado nuevamente.

dimitrix

Pero WHK, justamente lo digo por eso.

El fallo consistiría en NO tener q darle al boton file. Pero en este caso si que tiene que hacer click.

Aunque supongo que será alguna instrucción que no puede ser llamada en el form (principal).