+11 голос |
Специалисты компании Adobe работают над устранением уязвимости в Flash Player, которую можно использовать для удаленного включения веб-камер и микрофонов без ведома пользователей. Инициирует атаку щелчок на кнопке, расположенной на вредоносном сайте.
Ранее уже был предложен метод атаки, позволявшей шпионить за пользователями с помощью Flash Player. При этом использовался тот факт, что для модификации настроек Flash Player применяется расположенный на серверах Adobe SWF-файла. Для проведения атаки в невидимом фрейме открывалась страница менеджера настроек Flash Player, после чего с использованием инструментов социальной инженерии пользователь провоцировался на выполнение действий, разрешающих доступ к веб-камере и микрофону. (В качестве приманки использовалась игра, в которой требовалось щелкать на обычных кнопках на экране. Некоторые щелчки обрабатывались игрой, а некоторые — передавались в невидимый фрейм.). Adobe разрешила данную проблему просто изменив страницу менеджера настроек Flash Player так, что ее стало невозможно загрузить в отдельный фрейм.
Студент Стэнфордского университета Феросс Абухадиже (Feross Aboukhadijeh) обнаружил, что в отдельный фрейм можно поместить не целую страницу с менеджером настроек, а только SWF-файл. Таким образом, по сути, новый метод атаки ничем не отличается от хорошо известного. Правда, по данным исследователя, ему удалось использовать уязвимость исключительно на компьютерах Mac при работе из браузеров Firefox и Safari.
Стратегія охолодження ЦОД для епохи AI
+11 голос |
В который раз убеждаюсь, что не зря поставил NoScript