У компании «Adobe» появилась новая «ClickJacking» дырка в программе «Adobe Flash», которую использовали злоумышленники, чтобы шпионить за своими жертвами с помощью их камер и микрофонов, при этом оставаясь незамеченными, сообщает «ВордАйти». В прошлый вторник студент Стэнфордского университета Feross Aboukhadijeh, обнаружил данную дырку и опубликовал необходимые детали в своём блоге.

Как правило, камеры и микрофоны у жертвы были отключены и только они могли включить их. Чтобы заставить пользователей непроизвольно предоставить к ним доступ, злоумышленники представляли простую игру на специально созданном веб-сайте. После того, как пользователь делал пару щелчков мышью, на веб-сайте открывался менеджер настроек «Flash Player» в скрытом «IFrame». Как только пользователь делал клик в меню настроек, нападавший автоматически получал право доступа к видео и аудио устройствам жертвы.

Этот сценарий нападения первоначально был представлен в 2008-ом году. В то время компания «Adobe» устранила проблему путём внесения изменений в настройки страницы на своих веб-серверах — добавила нескольких строк в «JavaScript», которые запрещали загрузку страницы в «IFrame». Но «Adobe» упустила одну деталь, что флэш-файлы имеющие расширение «.swf» также могут быть непосредственно встроены в «IFrame».
В настоящее время компания «Adobe» решает данную проблему обновляя свой «Flash Player» и файл настроек, который размещается на серверах компании «Adobe».