Adobe flickt Spionage-Schwachstelle in Flash

Feross Aboukhadijeh hat die Sicherheitslücke entdeckt und Details dazu in seinem Blog am letzten Dienstag veröffentlicht. Webcams und Mikrofon sind normalerweise deaktiviert und lediglich die Benutzer können diese anschalten. Legt man einen Anwender aber zum Beispiel durch ein einfaches Klick-Spiel herein, lässt sich dieser Schutzmechanismus auf einer speziell präparierten Webseite aushebeln. Diese Art Angriff wurde schon im Jahre 2008 präsentiert. Adobe hat es allerdings verhindert, indem sich Seiten in einem iFrame haben laden lassen.

Dummerweise lassen sich swf-Dateien ebenfalls in einem iFrame einbetten. Klickt ein Anwender in dieser Datei nun, lassen sich die Klicks auf den iFrame übertragen und somit ohne das Wissen des Nutzers Kamera und Mikrofon aktivieren. Adobe hat das Problem bereinigt und die Flash-Player-Einstellungen aktualisiert, die auf den Adobe-Servern gehostet werden. Anwender brauchen ihre Flash-Player-Installationen nicht updaten. (jdo)