24.10.2011
Sicherheit
Spionage-Lücke in Flash geschlossen
Autor: Thorsten Eggeling
Adobe hat eine kritische Sicherheitslücke in Flash geschlossen. Die Lücke ermöglichte es Angreifern, unbemerkt Kamera oder Mikrofon auf dem Computer des Opfers zu aktivieren und diesen auszuspionieren.
Feross Aboukhadijeh, ein Student aus Stanfort, hat eine kritische Clickjacking-Lücke in Adobe Flash entdeckt. Diese hat er vergangene Woche detailliert in seinem Blog beschrieben. Angreifern ist es demnach möglich, ihre Opfer unbemerkt per Kamera oder Mikrofon auszuspionieren.
Eigentlich lassen sich Kamera und Mikrofon nur vom Anwender aktivieren. Um das zu erreichen, lockt der Angreifer auf einer manipulierten Webseite mit einem leichten Klickspiel. Ist der Besucher bereit, das Spielchen zu spielen, wird er erst einmal aufgefordert, auf eine Reihe von Buttons zu klicken. Im Hintergrund werden die Klicks allerdings auf das Menü „Einstellungen“ von Adobe Flash umgeleitet, das selbst auf in ein unsichtbares iFrame geladen wurde. So räumt der Besucher der Webseite dem Angreifer die Rechte für Kamera und die Audiogeräte ein.
Bekannt ist dieses Angriffsszenario schon seit 2008. Damals hat Adobe eine Anpassung in der Einstellungsseite vorgenommen und die Lücke damit geschlossen. Seitdem verhindern mehrere Zeilen JavaScript, das der Flash-PLayer in ein iFrame geladen wird. Allerdings hat Adobe dabei übersehen, dass Flash-Dateien (.swf) auch direkt als iFrame eingebettet werden können. Dabei wird die originale Webseite nicht geladen, sodass der Javascript-Code umgangen wird.
Adobe hat die Lücke inzwischen geschlossen. Nach Angaben des Herstellers ist eine Aktualisierung des Flash-Players nicht erforderlich. Der Fehler ließ sich durch eine Änderung von Dateien beseitigen, die auf den Adobe Servern liegen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>