zurück zum Artikel

Alte Flash-Player-Lücke in Google Chrome aufgetaucht

Eine Lücke in Adobes Flash Player Plug-in ist in Google Chrome zu neuem Leben erwacht. Adobe hat die Schwachstelle bereits 2011 geschlossen [1], in Chrome ist sie aber weiterhin ausnutzbar.

Bei der Lücke handelt es sich um Clickjacking. Opfer klicken unter falschem Vorwand auf ein transparentes – für sie nicht sichtbares – Flash-Objekt und geben damit den Zugriff auf ihre Webcam und ihr Mikrofon frei. Kriminelle können die Opfer belauschen und Aufnahmen von ihnen anfertigen.

Eine Adobe-Sprecherin erklärte [2] gegenüber The Register, dass das Problem nur das Flash-Plug-In von Chrome betreffe und Google nun an einem Patch arbeite. Dieser solle noch diese Woche erscheinen.

Robert Hansen, Produktmanager bei WhiteHat Security, kommentierte [3] gegenüber ArsTechnica, bei Flash sei problematisch, dass die Einstellungsidaloge als Elemente der Webseite erscheinen. Auf diese Weise können sie durch Layer überlagert werden.

Der Exploit wurde von dem 20-Jährigen Sicherheitsblogger Egor Homakov veröffentlicht [4]. (kbe [5])


URL dieses Artikels:
http://www.heise.de/-1891646

Links in diesem Artikel:
[1] http://blogs.adobe.com/psirt/2011/10/clickjacking-issue-in-adobe-flash-player-settings-manager.html
[2] http://www.theregister.co.uk/2013/06/18/flash_webcam_flaw/
[3] http://arstechnica.com/security/2013/06/adobe-flash-exploit-grabs-video-and-audio-long-after-fix/
[4] http://homakov.blogspot.ru/2013/06/camjacking-click-and-say-cheese.html
[5] mailto:kbe@heise.de