Adobe表示,已經修補史丹佛大學電腦工程系學生Feross Aboukhadijeh所發現的漏洞,該漏洞導致Flash可能被Clickjacking(點擊綁架)方式控制,暗中啟動攝影機及麥克風。
Feross Aboukhadijeh在週二(10/18)發表一篇文章表示,駭客透過Clickjacking,可以在Mac版Firefox及Safari兩種瀏覽器中啟動電腦的攝影機及麥克風,除非設備有警示燈等裝置,電腦的主人可能完全不知情。
雖然目前該手法僅在Mac版的Firefox及Safari兩種瀏覽器中奏效,但其原理是透過CSS一個不透明功能的漏洞,媒體不排除其他作業系統或瀏覽器也有相同或類似的漏洞。
駭客可以利用網頁中隱藏的iframe崁入Flash文件,利用該Flash文件從遠端網域控制攝影機及麥克風,而Flash原本僅允許使用者授權的網域控制使用者的攝影機或麥克風。Feross Aboukhadijeh向媒體表示,基本上其手法與2008年所發現的Clickjacking手法幾乎一致,只是攻擊方向不同。
由於相關權限設定存於Adobe網站之中,因此週四該公司修補問題之後不需要釋出用戶端更新。
Feross Aboukhadijeh在文中抱怨,他已經向Adobe舉報該漏洞數週之久,完全沒得到回應,因此公開該問題。2008年發現ClickJacking手法的SecTheory執行長Robert Hansen也曾遭受類似的待遇,當年Adobe及微軟要求他延緩公布相關資料,在等候一個多月之後,他在台灣舉辦的OWASP亞洲年會中揭露。由於該手法只能使用Firefox搭配NoScript套件,將JavaScript功能閹割才能避開,當時他曾建議使用者拿膠帶貼住攝影機鏡頭。(編譯/沈經)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
