want to advertise here $100 / views

Apr 21, 2015

Flash Player: catatan Bug audio dan video tanpa izin pengguna

Para peneliti telah mengidentifikasi kerentanan dalam beberapa versi Adobe Flash Player yang dapat dieksploitasi oleh penyerang untuk memata-matai pengguna yang memiliki built-in webcam pada komputer mereka - memata-matai tetap benar-benar bijaksana.

Panel konfigurasi flash player memungkinkan penciptaan daftar situs yang dapat mengakses perangkat built-in microphone dan webcam. Bergantian, pengguna dapat secara manual mengaktifkan opsi untuk meminta izin sebelum situs yang mencoba untuk mengakses audio dan video komponen komputer.

Jouko Pynnönen, Klikki Oy peneliti, melaporkan bahwa isu (CVE-2015-3044) mengungkapkan informasi yang dapat dimanfaatkan dalam sistem yang menggunakan versi sebelumnya dari Flash Player. Kerentanan ini telah diidentifikasi dalam versi yang muncul sebelum 17.0.0.169.

Stream audio / video dapat ditangkap dari perangkat dan dipindahkan ke lokasi yang dikendalikan dari jarak jauh. Hal ini dicapai dengan mendorong korban untuk mengunjungi website dikompromikan. Tidak ada pemberitahuan di layar dikirim ke pengguna bahwa webcam dan mic sedang diakses.

Menurut peneliti, "ini adalah cross-platform bug logis sehingga sama mengeksploitasi bekerja pada sistem operasi yang didukung oleh Flash."

Lebih lanjut ia menambahkan bahwa perusahaan saat ini sedang menyelidiki varian potensi kerentanan.

Dalam cuplikan video peneliti berhasil ditampilkan bagaimana cacat dapat dimanfaatkan. Video menunjukkan ditangkap aliran pengguna Namun, sesuai peneliti ini tidak akan terlihat oleh korban dalam serangan nyata.

Webcam Lampu LED
menyalakan akan menjadi satu-satunya petunjuk yang bisa mengisyaratkan pada mata-mata yang sedang berlangsung. Tapi, tidak semua sistem datang dengan teknologi LED indikator. Selain itu, penyerang mungkin cukup berhati-hati untuk memilih menangkap aliran audio saja. Hal ini akan membuat mata-mata sepenuhnya tidak terdeteksi.

Pynnönen menyatakan bahwa bug dapat digunakan untuk memicu kerentanan baru, CVE-2015-0346. Bug ganda bebas ini sehingga dapat mendorong eksekusi kode sewenang-wenang pada sistem diserang. Flash Player Settings Manager bertanggung jawab untuk cacat. Ini adalah program mandiri, yang aplikasi Flash tertanam dalam website dapat mengakses.

Adobe telah merilis update pekan ini yang membahas sebagian besar kelemahan keamanan termasuk CVE-2015-3044 n CVE-2015-0346.

Google Chrome secara otomatis menerapkan patch melalui mekanisme update otomatis built-in. Internet Explorer pada Windows 8 dan di atas juga melakukan fungsi yang sama.

Menonton video di bawah ini untuk melihat bagaimana hal itu dilakukan:



Artikel Terkait

0komentar:

Post a Comment