Adobe corrige une vulnérabilité de type détournement de clic liée à Flash Player dont l’exploitation permettait de transformer la webcam en espion.
Pour combler cette vulnérabilité, nul besoin de télécharger une mise à jour de Flash Player. Tout se passait sur les serveurs d’Adobe via le panneau des paramètres globaux de contrôle de l’accès qui est accessible en ligne.
Mardi, un étudiant en informatique de l’Université de Stanford aux États-Unis a publié un billet sur son blog où il explique comment grâce à une méthode de clickjacking – ou détournement de clic – il est possible pour tout site Web d’allumer la webcam et le micro à l’insu d’un utilisateur.
Le clickjacking consiste à dissimuler du code surune page Web, de sorte que l’utilisateur clique sur certaines fonctionnalités sans s’en rendre compte. En l’occurrence, pour la faille mise au jour par Feross Aboukhadijeh, c’est un fichier SWF qui est dissimulé derrière un iFrame qui permet d’interagir avec le gestionnaire en ligne des paramètres Flash Player afin de donner des autorisations.
L’étudiant a présenté sa trouvaille dans la vidéo ci-dessous et une exploitation via une sorte de jeu où il s’agit de cliquer sur des boutons :
[youtube -LbvglVj8Ho nolink]
Source : GNT