Ошибка в Flash Player позволяла владельцам сайтов следить за посетителями через их же web-камеру и микрофон.
Компания Adobe устранила ошибку
Flash Player, которая позволяла владельцам web-сайтов следить за пользователями через их же web-камеру и микрофон. Для эксплуатации уязвимости злоумышленник должен был завлечь пользователя на вредоносный сайт и обманом заставить его нажать на несколько кнопок. Камера и микрофон посетителя включались без предупреждения.
По данным компании Adobe, уязвимость существует из-за ошибки в Flash Player Settings Manager. В данной панели хранится список web-страниц, которые могут получать доступ к камере и микрофону пользователя. Выходные данные передаются сторонним web-сайтам в формате SWF, используемым Flash.
Студент факультета компьютерных наук Стэндфордского университета Феросс Абоукхадижех (Feross Aboukhadijeh), обнаружил возможность вставки SWF файла в качестве скрытого iframe. Таким образом, ему удалось поместить на web-страницу недействительные данные, способные запутать пользователя, заставив его изменить личные настройки.
Ввиду того, что менеджер настроек находится на серверах Adobe, для его обновления не пришлось вносить изменения в программное обеспечение конечного пользователя. Обновление было внесено в четверг, 20 октября.