Link alla notizia: http://www.hwfiles.it/news/adobe-risolto-il-problema-della-webcam-spia_39121.html

Adobe ha aggiornato il pannello di configurazione dedicato a Adobe Flash risolvendo il problema relativo all'attivazione da remoto della webcam del PC

Click sul link per visualizzare la notizia.

a occhio direi che l'adobe ha semplicemente impedito che possa essere caricato quel flash al di fuori di una pagina chiara e ben visibile

"per la risoluzione di questo problema non è richiesto all'utente alcun intervento e non è stato necessario distribuire aggiornamenti software per plug-in e client."

...uhmm... non ho ben capito: come è possibile che il problema sia risolto senza scaricare aggiornamenti? Se un utente ha una versione vecchia del player e incappa in un sito che ha quell'exploit, che succede?

magia?

"per la risoluzione di questo problema non è richiesto all'utente alcun intervento e non è stato necessario distribuire aggiornamenti software per plug-in e client."

...uhmm... non ho ben capito: come è possibile che il problema sia risolto senza scaricare aggiornamenti? Se un utente ha una versione vecchia del player e incappa in un sito che ha quell'exploit, che succede?

magia?


Ma leggete solo i titoli o cercate di capire le notizie ?
Niente magia, per il tipo di exploit non serviva aggiornare niente in locale e basta guardare il video linkato per capire cos'hanno fatto alla Adobe per tappare la falla.
Nel video è spiegato bene come funzionaVA l'hack.. geniale nella sua semplicità, in effetti.

Non so se vi è mai capitato di doverli cambiare, ma le modifiche ai settaggi del plugin flash (tra cui concedere l'autorizzazione ad un sito per l'uso di webcam e microfono) si eseguono accedendo ad una pagina online sul sito adobe.

L'hack caricava quella pagina in un'i-frame invisibile, sfruttando una vulnerabilità del codice javascript usato da adobe per proteggerla da hacking e abusi vari: la pagina dei settaggi risultava dunque invisibile all'utente.. ma era contenuta in quella del sito e ATTIVA; ad essa veniva sovrapposta una sorta di giochino che ti obbligava a cliccare in zone specifiche dello schermo in un certo ordine.. in pratica mentre giocavi senza accorgertene stavi modificando i parametri del tuo plugin flash perchè sotto (non visibile) c'era la pagina adobe con tutti i pulsanti attivi! Così, dopo 5 o 6 click in quello che a te sembrava un giochino, in pratica stavi invece concedendo alla pagina su cui navigavi l'autorizzazione all'uso PERMANENTE della tua webcam e del tuo microfono, e tutto ciò direttamente dal sito ufficiale della adobe! Geniale, c'è poco da dire.

Alla Adobe è dunque bastato modificare il codice javascript della sua pagina per arginare la falla, nessun aggiornamento dal lato client era necessario.
C'è da dire che a livello di sicurezza mi sentirei tutt'altro che tranquillo, la procedura per il cambiamento dei settaggi dovrebbe avvenire in locale con privilegi amministratore o, almeno, su un server con autentificazione, non su una pagina web accessibile a chiunque e con un misero script javascript che ne DOVREBBE impedire il riutilizzo altrove!

1. Ma leggete solo i titoli o cercate di capire le notizie?

2. basta guardare il video linkato per capire cos'hanno fatto alla Adobe per tappare la falla. Nel video è spiegato bene come funzionaVA l'hack.. geniale nella sua semplicità, in effetti.

3. Non so se vi è mai capitato (...eccetera...) L'hack caricava quella pagina in un'i-frame invisibile, sfruttando una vulnerabilità del codice javascript (...eccetera...) concedendo alla pagina su cui navigavi l'autorizzazione all'uso PERMANENTE della tua webcam e del tuo microfono, e tutto ciò direttamente dal sito ufficiale della adobe! Geniale, c'è poco da dire. (...eccetera...)

4. ...la procedura per il cambiamento dei settaggi dovrebbe avvenire in locale con privilegi amministratore o, almeno, su un server con autentificazione, non su una pagina web accessibile a chiunque e con un misero script javascript che ne DOVREBBE impedire il riutilizzo altrove!

1.2. In effetti mi sono limitato a leggere perché nel comprendere l'inglese parlato ho alcune difficoltà. Se nell'articolo fosse stata fornita la spiegazione (3) che tu hai fornito (semplice e chiara) non mi sarei permesso di chiedere precisazioni.

4. Concordo in pieno. Inoltre non ha senso impedire all'utente finale impostazioni personalizzate sul proprio PC.