El fallo fue descubierto por Feross Aboukhadijeh, un estudiante de la Universidad de Standford, en Estados Unidos.
La empresa indicó que ya arreglaron la falla.
Estados Unidos . Una vulnerabilidad de Adobe (ya solucionada) permitía que cualquier web activase el micrófono y la cámara web de los usuarios sin que éstos fueran conscientes.
Para hacerlo, utilizaba una variante de la técnica común de clickjacking, en la que el usuario no sabe que está pulsando determinados menús.
El fallo fue descubierto por Feross Aboukhadijeh, un estudiante de la Universidad de Standford, en Estados Unidos, que se dio cuenta de que era posible utilizar un iframe invisible para autorizar el uso de la cámara web y del micrófono por parte de cualquier página.
Así, mediante la técnica conocida como clickjacking, era posible acceder a la sección de ajustes de la página de Adobe en la que se conceden estos permisos.
En el ejemplo mostrado por el estudiante en su blog, el ataque se realizaba mediante un falso juego, pero las posibilidades eran mayores. Anteriormente, ya se había utilizado esta página de ajustes para realizar estos ataques, pero Adobe solucionó el problema al no permitir que se ‘ocultara’ bajo un iframe.
Sin embargo, Aboukhadijeh descubrió la forma de saltarse este bloqueo: ocultar únicamente el archivo necesario para conceder los permisos, en lugar de toda la página.No obstante, poco después de que el estudiante publicase la entrada, la compañía solucionó el fallo, según anunció en su web.
No hay comentarios:
Publicar un comentario