Flash再曝漏洞 可偷偷监控摄像头

标签: flash 漏洞 监控 | 发表时间:2011-10-20 11:47 | 作者:(author unknown) clowwindy
出处:http://www.cnbeta.com

10月20日消息,Adobe 公司正在修复一个 Flash 相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头。"该问题在 Adobe 服务器的 Flash 播放器设置管理器中",Adobe 的发言人 Wiebke Lips 表示。"工程师正在加紧漏洞修复工作",Lips 在e-mail 中表示,"注意的是该漏洞不会涉及或需要产品更新,可被在线在服务器端修复。QA 工作完成后将马上发布。"

http://i.i.com.com/cnwk.1d/i/tim/2011/10/19/Screen_shot_2011-10-19_at_5.30.41_PM.png

预计该漏洞会在本周末被修复完毕。

该漏洞是由斯坦福大学计算机系的学生 Aboukhadiieh 发现,并在昨天的博客中公布,且包含一段视频片段。该攻击使用一种叫“clickjacking”的点击劫持方式,隐藏 Flash 设置管理器 SWF 文件在页面 iFrame 的后面,这样可以绕过 framebusting JS 代码。

该漏洞攻击曾在2008年出现过。附来自 Znet 的早期报道:

安全专家们最近发出警告,一个最新发现的跨浏览器攻击漏洞将带来非常可怕的安全问题,该漏洞影响所有主流桌面平台, 包括,IE, Firefox, Safari, Opera 以及 Adobe Flash。这个被称为 Clickjacking 的安全威胁,原本要在 OWASP NYC AppSec 2008 大会上公布,但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞,直到他们开发出安全补丁。

发现这个漏洞的是两个安全研究专家,Robert Hansen 与 Jeremiah Grossman,他们已经略透露了一点相关信息以显示该安全威胁的严重性。

Clickjacking 到底是什么东西?

两为研究专家说,他们所发现的绝非小问题,事实上,很严重,他们在透露这些信息之前需要负起责任,这些问题一环套一环,至少已经有两家厂商表示会提供补丁,但日期未定,我们目前只和有限的几个厂家探讨这个问题,所以,问题很严重。

根据那些在 OWASP 参加过半公开性演示的人透露,这个漏洞非常紧急,将影响到所有浏览器,而且它和 JavaScript 并没有关系:

总的来说,当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览 器,除非你使用 lynx 一类的字符浏览器。这个漏洞与 JavaScript 无关,即使你关闭浏览器的 JavaScript 功能也无能为力。事实上这是浏览器工作原理中的一个缺陷,无法通过简单的补丁解决。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按纽或网站上 任意东西。

如果这还不能让你恐慌的话,想想这样的情形,一个用户在被攻击的时候将毫不知情而且束手无策:

比如在 Ebay,因为可以嵌入 JavaScript,虽然攻击并不需要 JavaScript,但可以让攻击更容易进行。只用 lynx 字符浏览器才能保护你自己,同时不要任何动态的东西。该漏洞用到 DHTML,使用防 frame 代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些 Flash 游戏将首当其冲。

据 Hansen 讲,他们已经同微软以及 Mozilla 谈论过这个问题,然而他们均表示这是个非常棘手的问题,目前没有简单的解决办法。


相关 [flash 漏洞 监控] 推荐:

Flash再曝漏洞 可偷偷监控摄像头

- clowwindy - cnBeta.COM
10月20日消息,Adobe 公司正在修复一个 Flash 相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头. "该问题在 Adobe 服务器的 Flash 播放器设置管理器中",Adobe 的发言人 Wiebke Lips 表示. "工程师正在加紧漏洞修复工作",Lips 在e-mail 中表示,"注意的是该漏洞不会涉及或需要产品更新,可被在线在服务器端修复.

Adobe再次修正Flash 0day漏洞

- sayhelen - Solidot
Adobe在九天内修复了第二个Flash 0day漏洞,上一个0day漏洞被疑似中国黑客窃取特定Gmail用户的帐号. Adobe的安全警告称,Flash 10.3.181.23及早期版本发现存在一个高危内存泄漏漏洞,能导致崩溃,潜在允许攻击者控制受影响的系统. Adobe建议用户立即升级到10.3.181.26/10.3.185.24(Android).

Flash“clickjacking”漏洞可致摄像头和麦克风

- raincoatrun - Solidot
tbw 写道 "Geek.com消息:Adobe 公司正在修复一个 Flash 相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头. "该问题在 Adobe 服务器的 Flash 播放器设置管理器中",Adobe 的发言人 Wiebke Lips 表示. "工程师正在加紧漏洞修复工作",Lips 在e-mail 中表示,"注意的是该漏洞不会涉及或需要产品更新,可被在线在服务器端修复.

远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天

- - FreeBuf.COM | 关注黑客与极客
6月27日,渗透测试工具包Magnitude已经成功Adobe Flash Player 0day漏洞,而这个时间仅在Adobe发布修复漏洞补丁后的四天,工具包软件作者成为近期最快实现利用Flash Player漏洞的开发者. 漏洞之王Flash又有0day漏洞了. 6月23日,安全公司FireEye发布了一份关于利用Adobe Flash Player 18.0.0.160 0day漏洞( cve-2015-3113)对目标进行攻击的 报告.

flash存储器(NOR Flash和NAND Flash)

- - CSDN博客推荐文章
Flash存储器经历了最初应用于个人计算机BIOS( basic input output system)存储、嵌入式系统的标准存储器,到目前在某些笔记本电脑中代替磁盘作为外存储器,并被引入到企业级存储的高端存储阵列中,Flash存储技术已经得到很大的发展. 作为一种电可擦除可编程只读存储器,Flash存储器不但能在不移除存储芯片的情况下进行擦除和编程操作,还具有非易失性、固态性、体积小、重量轻、抗震动、高性能、低能耗等优点.

Flash之死

- - 技术改变世界 创新驱动中国 - 《程序员》官网
文 / Francisco Kattan. Adobe公司决定停止面向移动浏览器的Flash开发工作,但导致Flash最终失败的原因却不甚明朗. VisionMobile特邀作者Francisco Kattan撰文就导致Flash消亡的一连串事件进行了分析. 自Adobe宣布将停止开发面向移动浏览器的Flash以来,人们就展开了激烈讨论,很多Flash开发人员表示惊诧和怀疑,分析师们不停地放马后炮,甚至有人恳请Adobe辞退首席执行官.

如何禁用flash

- - 膘叔
本来是不想禁用的,但发现机器的风扇就一直没停过,CPU消耗的最大的就是firefox下的flash插件 .没辙了.我还是禁用它吧. 嗯flashblock即可,但其实我是想从软件的底层就直接禁用它.可惜没有好的办法....只能用插件了.网上类似的教程还有很多,比如这个:. 内容来源:http://orzl.com/weblog/disable-the-flash-on-mac.

Google Swiffy把Flash变成HTML5

- Caiwangqin - 36氪
由于Flash被苹果拒之门外,很多开发者在开发产品时都不得不在Flash和HTML5之间做出选择. 今天Google发布的一个新工具让天平再次偏向HTML5这边,它就是Swiffy. Swiffy可以把Flash文件转换成HTML5标准. 该项目源于Google移动广告团队,开发动机就是有些设备不支持Adobe的格式,因此无法显示Flash动画.

Flash与HTML5性能比较

- frocket - Solidot
Rinick 写道 "近日,一项评测向人们证明了:HTML5在性能上仍远远落后于Flashplayer. 测试使用了Droid X, Nexus One, Desire HD, Atrix, PlayBook, Galaxy Tab, Xoom 等设备,分别测试了位图,矢量图,数值运算,视频播放等项目.

HTML5&Flash之粗知浅见

- Neo - FeedzShare
来自: 网易用户体验设计中心官方博客 - FeedzShare  bullog.org - FeedzShare  . 发布时间:2011年08月03日,  已有 2 人推荐. 比较头大的是Flash又插入不进来了,无奈请您移步 点击这里 先去看一段动画展示:. HTML(Hyper Text Mark-up Language)即超文本标记语言.