Adobe Flash Player Settings Manager |
Adobe ya ha anunciado que va a solucionar este problema, sobre todo después del ruido que ha levantado el vídeo de la demostración presentado por Feross, el descubridor de la vulnerabilidad.
El fallo se explota mediante un ataque de clickjacking en una página maliciosa. En esa página se carga, dentro de un iframe transparente la página de Adobe Flash Player Setting Manager, algo heredado de Macromedia, en la que se puede configurar la activación de la cámara.
Por supuesto, los ataques de clickjacking se conocen hace tiempo, y es por eso que hay tecnologías para detectar que se ha metido dentro un frame la página web, y Adobe también aplica esas medidas. Sin embargo, la gracia del ataque presentado por Feross es que lo que mete en el frame no es la página web en sí, sino el archivo swf que utiliza Adobe en ella, para conseguir lo que se puede ver en el vídeo.
Adobe ya ha dicho que va a arreglar esta situación, y esperemos que se bastante pronto, ya que la página está hosteada por ellos, así que no debería suponer más que un parcheo de sus servidores. Si quieres probar si aún está activa la vulnerabilidad en tu sistema, puedes probar la demo que ha puesto online, en la que tienes que hacer clic en clic me hasta que se active la Webcam. La prueba funciona en Firefox y Safari.
La noticia ha salido asociada a Mac OS X, y es cierto que los usuarios de Mac se ven afectados por esta vulnerabilidad, pero también los usuarios de Windows. En el caso de Mac iSight además se encenderá, lo que serviría de alerta, pero por si acoso, recuerda que los más paranóicos tapamos la webcam y el micrófono para evitar situaciones embarazosas con malware o técnicos mirones.
No hay comentarios:
Publicar un comentario