Adobe confirme une faille dans Flash favorisant le clickjacking

Souriez, vous êtes piraté 29
adobe flash Connaissez-vous le clickjacking ? Il s’agit d’un ensemble de techniques qui permettent d’amener l’utilisateur à cliquer dans un endroit d’un site web qui n’est pas forcément visible mais va en tout cas le conduire vers un contenu le plus souvent malveillant.

Les techniques sont connues depuis longtemps et servent le plus souvent à diverses actions, comme la redirection sur un site malveillant, mais pas seulement : on trouve aussi l’augmentation artificielle de pages vues sur un site web ou encore de la publicité détournée. Il ne s’agit pas d’une faille à proprement parler, mais de l’exploitation d’un certain design pour que la réalité ait l’air tout simplement inoffensive. Par contre, quand la méthode implique la faille d’un composant quelconque, les dangers sont autrement plus grands.

Jeremiah Grossman, directeur technique de Whitman Security, indique qu’un développeur peut très bien placer un code malveillant dans le code HTML d’une page web et l’associer à un bouton ou un cadre utilisant des technologies, Flash, Silverlight ou JavaScript. Du coup, tous les navigateurs sont touchés selon les technologies utilisées : Internet Explorer, Firefox, Opera, Safari ou encore Chrome, aucun n’est épargné.

Or, justement, Adobe précise qu’une faille dans le lecteur Flash permet actuellement aux techniques de clickjacking d’aller beaucoup plus loin que d’ordinaire, notamment de prendre le contrôle de la webcam. Le lecteur Flash permet en effet l’accès aux périphériques d’images notamment, mais la faille autorise globalement le contournement de certaines sécurités et la présentation d’informations sensibles.

Si le lecteur flash est installé sur votre machine, Adobe vous recommande de vous rendre sur cette page. Il faut ensuite cliquer sur le bouton « Toujours refuser » et confirmer l’action. Ainsi, le lecteur Flash empêchera tout site d’accéder à la webcam ou au microphone. L’éditeur précise en outre qu’il travaille actuellement sur un correctif.

Publiée le 13/10/2008 à 14:32 - Source : Adobe
Publicité