October 26, 2008 Matze 4Comment

Auf der Webseite des Heise-Verlags hat unser Leser Nana einen Sicherheitsluecke mit lustigem Nebeneffekt gefunden. Es handelt sich um einen Hinweis auf das sogenannte Clickjacking, wobei der Benutzer - beispielsweise eines Flash-Games - dem Angreifer unwissentlich Zugriff auf Webcam und Mikrofon ermöglicht.

Dem User wird dazu vorgegaukelt, an einer bestimmten Stelle klicken zu müssen. Im Hintergrund, bzw für wenige Millisekunden auch im Vordergrund, bedient man aber -kaum sichtbar- den Flash Player Manager und verändert die Einstellungen so, daß ein Zugriff von aussen möglich wird.

Der Flashentwickler Guy Aharonovsky hat eine Demo entwickelt, die die bereits von den Sicherheitsfachleuten Jereminah Grossmann und Robert "RSnake" Hansen entdeckten Clickjacking-Möglichkeit ausnutzt. Die Demo sollte eigentlich nicht mehr funktionieren, denn man hat bei Adobe den Flash Player Settings Manager bereits überarbeitet. Aharonovsky hat aber ein Video dazu gemacht, wie es mal aussah und es gibt noch eine andere Demo, die weiterhin funktionieren soll.

Grossmann und Hansen haben aber noch einige Clickjacking-Löcher mehr entdeckt; Hansen beschreibt sie nun -nachdem die ursprünglich geplante Geheimhaltung aufgegeben werden musste- ausführlich in seinem Blog.

Einerseits ist das Ganze ja eine lustige Angelegenheit, denn wer würde nicht gern mal eine fremde Webcam kapern. Andererseits aber auch ein ganz fieses Sicherheitsloch, vor allem, wenn man sich anschaut, über welche Software man sonst noch so ge-clickjacked werden kann. Ein unscheinbares Java-Applet, ein falscher Klick im Browser oder ein durchlässiges Plugin können dazu führen, daß man nicht mehr Herr seines Systems ist. Ein Traum für den Innenminister.

Um wenigstens vorzubeugen, so gut es geht, sollte man laut Heise auf jeden Fall das Workaround von Adobe lesen, wie man den Flash Manager sicher macht und das Firefox-Plug-in NoScript in der Version 1.8.2.1 installieren.

Ähnliche Beiträge

  1. Video: Funktionsweise Multi-TouchPad
  2. Video: Samsung NC10 mit Ubuntu 8.10
  3. ASRock bootet Windows in 4 Sekunden
  4. Latest News zum MSI Wind / Medion Akoya Mini
  5. Video: HTC Shift unboxing
  6. Video: ASUS Eee Slate EP121 und Wacom Cintiq 21UX Grafik-Tablet im Vergleich
  7. Windows 2000 gewinnt Patrioten-Rallye
  8. Lisa packt den ASUS Eee PC 1015PEM in PINK aus !

4 thoughts on “Flash-Sicherheitslücke entdeckt: Clickjacking

  1. “Ein Traum für den Innenminister.” Beste Zeile 😉 Sehr interessant, gerade auch bei den ganzen Netbooks, wo man ja mitlerweile überall eine Kamera dran hat. Also sollte man immer schön die LED neben der Webcam im Auge behalten.

Leave a Reply

Your email address will not be published. Required fields are marked *