News Adobes Flash-Player ermöglicht Spionage
- Ersteller Patrick
- Erstellt am
- Zur News: Adobes Flash-Player ermöglicht Spionage
Falkner
Lieutenant
- Registriert
- Okt. 2007
- Beiträge
- 774
Auf heise.de gibt es auch einen Bericht dazu.
Flash-Player als Spionagesystem
Gleich zu Anfang steht in dem Artikel:
Akzeptiert man beim Aufruf des nur online verfügbaren Einstellungsmanagers des Flash-Players ein gefälschtes Zertifikat, können Angreifer die Konfiguration der Website-Zugriffsschutzeinstellungen manipulieren.
Habe noch nie erlebt, dass man dort ein Zertifikat akzeptieren müsste.
und weiter:
Der Einstellungsmanager ist selbst nur ein Flash Applet und wird von Adobes Seiten via HTTPS als SWF-Datei in den Browser geladen – der Link dorthin ist im Plug-in fest einkodiert.
Also die Seite des Einstellungsmanagers für den Flash-Player ist auf jedenfall keine HTTPS Seite. Oder bringe ich jetzt etwas durcheinander ?
Zum hier angesprochnen LED-Problem (obs denn nun immer leuchtet wenn jemand zugriff darauf haben sollte oder nicht)
hier ein Link darüber, dass es deaktivierbar sein soll.
http://forum.ubuntuusers.de/topic/logitech-quickcam-led-ausschalten/?highlight=logitech#post-1471155
Flash-Player als Spionagesystem
Gleich zu Anfang steht in dem Artikel:
Akzeptiert man beim Aufruf des nur online verfügbaren Einstellungsmanagers des Flash-Players ein gefälschtes Zertifikat, können Angreifer die Konfiguration der Website-Zugriffsschutzeinstellungen manipulieren.
Habe noch nie erlebt, dass man dort ein Zertifikat akzeptieren müsste.
und weiter:
Der Einstellungsmanager ist selbst nur ein Flash Applet und wird von Adobes Seiten via HTTPS als SWF-Datei in den Browser geladen – der Link dorthin ist im Plug-in fest einkodiert.
Also die Seite des Einstellungsmanagers für den Flash-Player ist auf jedenfall keine HTTPS Seite. Oder bringe ich jetzt etwas durcheinander ?
Zum hier angesprochnen LED-Problem (obs denn nun immer leuchtet wenn jemand zugriff darauf haben sollte oder nicht)
hier ein Link darüber, dass es deaktivierbar sein soll.
http://forum.ubuntuusers.de/topic/logitech-quickcam-led-ausschalten/?highlight=logitech#post-1471155
Digital_D99
Lt. Commander
- Registriert
- Feb. 2010
- Beiträge
- 1.323
alles panikmache... flashblock und hirn hilft
Falkner
Lieutenant
- Registriert
- Okt. 2007
- Beiträge
- 774
Ist es auszuschließen, dass sich ein Zertifikat "selbst" zustimmt ?
Seit wann besteht denn diese Sicherheitslücke.
Diese wird es doch vermutlich auch in den anderen Versionen von Flash gegeben haben oder nicht ?
Ist ein Zugriff auf ein Micro/Cam auch ohne installiertem Flash-Player Möglich ?
Kann denn auch über ein angeschlossenes USB-Headset mitgehört werden ?
Hat MitM etwa nichts mit dem Internet zu tun , beschränkt sich die Angriffsmöglichkeit also nur auf ein lokales Netzwerk ?
Seit wann besteht denn diese Sicherheitslücke.
Diese wird es doch vermutlich auch in den anderen Versionen von Flash gegeben haben oder nicht ?
Ist ein Zugriff auf ein Micro/Cam auch ohne installiertem Flash-Player Möglich ?
Kann denn auch über ein angeschlossenes USB-Headset mitgehört werden ?
Hat MitM etwa nichts mit dem Internet zu tun , beschränkt sich die Angriffsmöglichkeit also nur auf ein lokales Netzwerk ?
riDDi
Admiral
- Registriert
- Aug. 2004
- Beiträge
- 7.557
Vom Support für die Geräte mal ganz zu schweigen. Tollerweise funktioniert nur auf mobil angepasster Content zufriedenstellend. So viel zum "ganzen Internet" auf dem Schlautelefon.naoki schrieb:
_pillepalle_
Lieutenant
- Registriert
- Juni 2006
- Beiträge
- 608
Ich bin immer wieder überrascht, wie viel Spannendes man bei Adobe-Produkten entdecken kann! 
Da ist es immer wieder interessant sich die "Bug-Fixes" durchzulesen, wo drin steht, dass eigentlich jeder gefixte Bug zu "Code Execution" hätte führen können...
Da ist es immer wieder interessant sich die "Bug-Fixes" durchzulesen, wo drin steht, dass eigentlich jeder gefixte Bug zu "Code Execution" hätte führen können...
1
1668mib
Gast
Ich bin kein Flash-Freund, aber ich finde es immer löblich, wie bei solchen Dingen immer allen voran der Software der schwarze Peter zugeschoben wird. Nicht umsonst gibt es diese Zertifikate. Wer ein falsches Zertifikat leichtfertig akzeptiert, dem ist oftmals halt auch nicht zu helfen...
Außerdem handelt es sich bei vielen solcher Angriffe eben um theoretische Angriffe. Erst mal muss der Man-in-the-Middle-Angriff funktionieren...
Mir kommen solche Meldungen oft halt irgendwie politisch motiviert vor, schließlich könnte ich auch Trillian als Schadsoftware-Schleuder hinstellen, schließlich muss nur mal jemand mit Hilfe eines MITM-Angriffs die Datei, die ich gerade von einem Freund bekomme, gegen nen Virus austauschen usw...
Übrigens Firefox usw genauso...wer weiß ob ich beim Download von CB nicht via MITM-Angriff eine falsche Datei erhalte?
Außerdem handelt es sich bei vielen solcher Angriffe eben um theoretische Angriffe. Erst mal muss der Man-in-the-Middle-Angriff funktionieren...
Mir kommen solche Meldungen oft halt irgendwie politisch motiviert vor, schließlich könnte ich auch Trillian als Schadsoftware-Schleuder hinstellen, schließlich muss nur mal jemand mit Hilfe eines MITM-Angriffs die Datei, die ich gerade von einem Freund bekomme, gegen nen Virus austauschen usw...
Übrigens Firefox usw genauso...wer weiß ob ich beim Download von CB nicht via MITM-Angriff eine falsche Datei erhalte?
riDDi
Admiral
- Registriert
- Aug. 2004
- Beiträge
- 7.557
@peacemillion: Die gewöhnlichen Bugfixes finden auch keinerlei Erwähnung. Eine Ausnahme bildet wohl der Bug, der den Flash-Player unter OSX von Oktober 2008 bis Juni 2010 regelmäßig zum Absturz brachte.
@1668mib: Es ist voll und ganz Adobe's Schuld. Ihr lächerlicher Einstellungsdialog ist nur online verfügbar. Um die entsprechende Seite zu erreichen muss man entweder eine Suchmaschine bemühen oder eine Seite mit Flash-Video besuchen, im Kontextmenü auf "Globale Einstellungen" und auf der aufploppenden Seite auch noch den richtigen Link suchen. Dort darf man sich in einem blödsinnig kleinen Fensterchen durch sich scheinbar ständig wiederholende Einstellungen klicken, bis man schließlich alles auf NEIN, NIEMALS und BLOCKIEREN gestellt hat.
Kurz gesagt:
PS: Den Eintrag "Globale Einstellungen" hat Adobe in einem der letzten Updates hinzugefügt. Davor waren die weiterführenden Einstellungen überhaupt nur per Suche erreichbar.
@1668mib: Es ist voll und ganz Adobe's Schuld. Ihr lächerlicher Einstellungsdialog ist nur online verfügbar. Um die entsprechende Seite zu erreichen muss man entweder eine Suchmaschine bemühen oder eine Seite mit Flash-Video besuchen, im Kontextmenü auf "Globale Einstellungen" und auf der aufploppenden Seite auch noch den richtigen Link suchen. Dort darf man sich in einem blödsinnig kleinen Fensterchen durch sich scheinbar ständig wiederholende Einstellungen klicken, bis man schließlich alles auf NEIN, NIEMALS und BLOCKIEREN gestellt hat.
Kurz gesagt:
PS: Den Eintrag "Globale Einstellungen" hat Adobe in einem der letzten Updates hinzugefügt. Davor waren die weiterführenden Einstellungen überhaupt nur per Suche erreichbar.
Zuletzt bearbeitet:
1
1668mib
Gast
@riDDi: Ich finde nur dass die Sache den Wind nicht Wert ist, der hier gemacht wird.
Vor allem weil du nicht von der Hand weisen kannst, dass der User nicht auch mit Schuld ist, wenn ein solcher Angriff glückt.
Dass es schlecht gelöst ist von Adobe - ja.
Dass der Flash-Player eh Müll ist - ja.
Aber dennoch sollte bei den Surfern mal ein Umdenken anfangen. Wenn Leute die Zertifikate mal prüfen, dann reden wir hier von gar keinem Problem mehr.
Sonst können wir jede Woche Meldungen lesen, bei denen eine Gefahr droht, nur weil jemand auf ein falsches Zertifikat reingefallen könnte...
Vor allem weil du nicht von der Hand weisen kannst, dass der User nicht auch mit Schuld ist, wenn ein solcher Angriff glückt.
Dass es schlecht gelöst ist von Adobe - ja.
Dass der Flash-Player eh Müll ist - ja.
Aber dennoch sollte bei den Surfern mal ein Umdenken anfangen. Wenn Leute die Zertifikate mal prüfen, dann reden wir hier von gar keinem Problem mehr.
Sonst können wir jede Woche Meldungen lesen, bei denen eine Gefahr droht, nur weil jemand auf ein falsches Zertifikat reingefallen könnte...
Tja, der Trend geht eindeutig weiter.
Seit gut einem Jahr haben Adobes Produkte Schritt für Schritt Microsofts Windows als gefährdeste Software in Sachen Sicherheitslücken abgelöst. Wenn man allein die unzähligen Lücken des Adobe PDF Readers betrachtet, ist es heute umso wichtiger geworden, neben den normalen Windows-Updates auch die gängigen Standard-Software-Pakete regelmäßig auf dem aktuellen Stand zu halten.
Daher halte ich es durchaus für sinnvoll, dass in Zukunft möglicherweise über die normalen Windows-Update-Funktionen auch Software von Drittanbieter gepatcht werden kann.
Seit gut einem Jahr haben Adobes Produkte Schritt für Schritt Microsofts Windows als gefährdeste Software in Sachen Sicherheitslücken abgelöst. Wenn man allein die unzähligen Lücken des Adobe PDF Readers betrachtet, ist es heute umso wichtiger geworden, neben den normalen Windows-Updates auch die gängigen Standard-Software-Pakete regelmäßig auf dem aktuellen Stand zu halten.
Daher halte ich es durchaus für sinnvoll, dass in Zukunft möglicherweise über die normalen Windows-Update-Funktionen auch Software von Drittanbieter gepatcht werden kann.
Minute|Man
Commander
- Registriert
- Juli 2007
- Beiträge
- 2.392
Darum fühl' ich mich bei Laptops mit Webcam immer beobachtet... ernsthaft: Deshalb finde ich es einen großen Vorteil, wenn die Kamera harwareseitig mit einer Signalleuchte verbunden ist. So sieht man immer, wenn man gefilmt wird. Zu hören gibt's ja meistens eh nix außer Getippe oder (Film-)Musik.
1
1668mib
Gast
Sage ich doch: Es muss ein Umdenken bei den Surfern kommen. 90% klicken doch eh jeden Müll an und installieren sich die Malware noch freiwillig weil die Seite darum bittet... es kann halt nicht sein dass man sagt "Ich kenn mich mit Zertifikaten nicht aus, als akzeptiere ich einfach alle"...
Dagegen erscheint diese Schwachstelle nun mal extrem theoretisch...
Aber man muss sich oft nicht wundern, wenn ständig bei Problemen, die brave Mithilfe der User benötigen,
dieses eher unter den Tisch gekehrt wird...
Mit nem Man-in-the-Middle-Angriff kann man auch ohne Flash Kontrolle über Webcams usw bekommen, reicht ja nen EXE-/ZIP-Download auszutauschen... aber wieso so umständlich? Geht doch deutlich einfacher als mit nem MITM-Angriff... klingt bei der Beschreibung im Übrigen auch so, als wäre es ein Kinderspiel, einen solchen Angriff durchzuführen...
Wie gesagt: Die meisten Nutzer, gerade diejenigen, die keine Zertifikate prüfen, machen doch eh alles, was ihr Rechner von ihnen verlangt..
Dagegen erscheint diese Schwachstelle nun mal extrem theoretisch...
Aber man muss sich oft nicht wundern, wenn ständig bei Problemen, die brave Mithilfe der User benötigen,
dieses eher unter den Tisch gekehrt wird...
Mit nem Man-in-the-Middle-Angriff kann man auch ohne Flash Kontrolle über Webcams usw bekommen, reicht ja nen EXE-/ZIP-Download auszutauschen... aber wieso so umständlich? Geht doch deutlich einfacher als mit nem MITM-Angriff... klingt bei der Beschreibung im Übrigen auch so, als wäre es ein Kinderspiel, einen solchen Angriff durchzuführen...
Wie gesagt: Die meisten Nutzer, gerade diejenigen, die keine Zertifikate prüfen, machen doch eh alles, was ihr Rechner von ihnen verlangt..
L
LightFlash
Gast
Hmnja, Webcam ist aus, Micro nur an wenn ich BC2 zocken. Ich bezweifle dass jm. das manchmal auftretende Fluchen oder Gebrüll hören möchte ^^
