c.m.g
08-10-2008, 12:16
08 ottobre 2008
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA32163 (http://secunia.com/advisories/32163/)) in cui si spiega che è stata trovata una vulnerabilità, giudicata dalla stessa come Less critical, in Adobe Flash Player il quale può essere sfruttato da malintenzionati per bypassare alcune restrizioni di sicurezza e divulgare in maniera non autorizzata potenziali informazioni sensibili.
La falla è causata da un errore di progettazione e può essere sfruttata, in particolare, per guadagnare l'accesso non autorizzato alla webcam o al microfono spingendo l'user inconsapevole a cliccare nella finestra di dialogo del Flash Player relativo al controllo accesso ingannandolo e facendogli credere che sta cliccando su un normale elemento grafico (appunto chiamato in gergo tecnico: Clickjacking).
La vulnerabilità è stata confermata in Flash Player versione 9.0.124.0 e precedenti.
Software buggato:
Adobe Flash Player 9.x
Soluzione:
La casa madre consiglia di disabilitare in Flash l'interazione con webcam e microfono. Al momento non esistono nuove versioni rilasciate che risolvono il problema ma è in corso un workaround.
Falla scoperta da:
The vendor credits Robert Hansen of SecTheory, Jeremiah Grossman of WhiteHat Security, Eduardo Vela, Matthew Mastracci of DotSpots, and Liu Die Yu.
Advisory d'origine:
http://www.adobe.com/support/security/advisories/apsa08-08.html
http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html
Fonte: Secunia (http://secunia.com/advisories/32163/)
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA32163 (http://secunia.com/advisories/32163/)) in cui si spiega che è stata trovata una vulnerabilità, giudicata dalla stessa come Less critical, in Adobe Flash Player il quale può essere sfruttato da malintenzionati per bypassare alcune restrizioni di sicurezza e divulgare in maniera non autorizzata potenziali informazioni sensibili.
La falla è causata da un errore di progettazione e può essere sfruttata, in particolare, per guadagnare l'accesso non autorizzato alla webcam o al microfono spingendo l'user inconsapevole a cliccare nella finestra di dialogo del Flash Player relativo al controllo accesso ingannandolo e facendogli credere che sta cliccando su un normale elemento grafico (appunto chiamato in gergo tecnico: Clickjacking).
La vulnerabilità è stata confermata in Flash Player versione 9.0.124.0 e precedenti.
Software buggato:
Adobe Flash Player 9.x
Soluzione:
La casa madre consiglia di disabilitare in Flash l'interazione con webcam e microfono. Al momento non esistono nuove versioni rilasciate che risolvono il problema ma è in corso un workaround.
Falla scoperta da:
The vendor credits Robert Hansen of SecTheory, Jeremiah Grossman of WhiteHat Security, Eduardo Vela, Matthew Mastracci of DotSpots, and Liu Die Yu.
Advisory d'origine:
http://www.adobe.com/support/security/advisories/apsa08-08.html
http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html
Fonte: Secunia (http://secunia.com/advisories/32163/)