Уязвимость в некоторых версиях Adobe Flash Player могла эксплуатироваться плохо намеченными актерами, чтобы шпионить за пользовательской деятельностью через встроенную веб-камеру и микрофон, не производя уведомление, что к компонентам получают доступ.

Группа конфигурации Flash player позволяет определять список веб-сайтов, которые могут получить доступ к камере и микрофону, доступному на компьютере; альтернативно, пользователи могут позволить выбору попроситься разрешения, когда веб-сайт пытается использовать видео и аудио компоненты на компьютере.

Светодиод предупреждает о деятельности веб-камеры

Сообщаемый исследователем Йоуко Пыннфненом из Oy Klikki, выпуск (CVE-2015-3044) - раскрытие информации, которое могло быть усилено на системах с версиями Вспышки до 17.0.0.169, чтобы поставить аудио и/или видео потоки, захваченные от устройства жертвы до отдаленного местоположения, которым управляет нападавший.

Чтобы достигнуть этого, жертва должна посетить злонамеренный веб-сайт, и нет никакого уведомления на экране о камере и получаемом доступ микрофоне, независимо от урегулирования в группе конфигурации Вспышки.

“Это - кросс-платформенная логическая ошибка так те же работы деяния над любой операционной системой, поддержанной Вспышкой”, говорит исследователь, добавляя, что потенциальный вариант уязвимости в настоящее время исследован.

Он продемонстрировал успешную эксплуатацию недостатка в видео (доступный ниже). Видеозапись показывает захваченный поток пользователю, но в реальном нападении это не было бы видимо жертве, сказал Пинненен по электронной почте.

Единственный ключ к разгадке подозрительной деятельности - светодиодное освещение веб-камеры. Однако не у всех систем есть светодиод, указывающий на деятельность веб-камеры, или нападавший, предусмотрительно, может захватить только аудиопоток, который сделал бы деятельность шпионажа абсолютно невидимой.

Произвольная возможность выполнения кода

Пинненен говорит, что эта ошибка может также использоваться, чтобы вызвать другую уязвимость, CVE-2015-0346, бездвойная ошибка, которая могла привести к выполнению произвольного кода на затронутой системе.

Недостаток проживает в менеджере по Параметрам настройки Flash player, автономная программа, к которой могут получить доступ приложения Вспышки, включенные в веб-сайты.

На этой неделе Adobe выпустил обновление, которое обратилось к большому количеству недостатков безопасности, и с CVE-2015-3044 и с CVE-2015-0346 среди них.

Участки применены автоматически в Google Chrome с помощью встроенного автоматического механизма обновления. То же происходит в случае Internet Explorer (на Windows 8 и выше) и настольной версии во время выполнения, если опция автоматического обновления активирована.

Исследователь демонстрирует доступ веб-сайта к системной камере и микрофону без вызванного уведомления:

Ошибка Flash player позволяет видео, аудиозапись без пользовательского согласия Видео игры