Adobe Flash播放器最新漏洞(CVE-2015-3044):摄像头和麦克风可被远程控制(含视频)

2015-04-22 +4 187414人围观 ,发现 13 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

研究人员最近发现,在Adobe Flash播放器的某些版本存在漏洞,攻击者利用漏洞可以借助电脑的内置摄像头和麦克风对用户进行监控。

漏洞描述

Flash播放器的配置面板有一个站点列表,里面的网站可以访问电脑内置的麦克风和摄像头。然而,用户可以手动启用提示选项,在站点列表里网站里试图访问电脑里的音频和视频组件时,Flash播放器会向你询问是否许可。

如果系统存在该漏洞的话,黑客就可以利用它从设备中截获视频/音频流数据,然后传送到远程控制端。只要受害人访问一个经黑客布置过的网站,受害者就会在不知不觉中招。在这期间,网络摄像头和麦克风被访问时,并不会在屏幕上有任何提示。

研究人员称:

“这是一个通用型跨平台逻辑漏洞,任何支持Flash的操作系统都会遭受影响。”

芬兰研究员Jouko Pynnönen和Klikki Oy提交的上述这个漏洞被编号为CVE-2015-3044,它可以在某些早期版本的Flash播放器里复现,漏洞版本需要低于17.0.0.169。

漏洞利用视频

研究人员还补充道,他们正在研究该漏洞的潜在变种,下面的视频将展示漏洞被利用的全过程:

原视频地址

摄像头LED指示灯也没用

摄像头的LED指示灯是发现该漏洞是否被利用的唯一明显标志——因为一般来说黑客在启用摄像头时指示灯可能会亮起。但是,并不是所有系统在启用摄像头时都会亮起LED灯。另外,黑客如果足够小心,只选择捕获音频流的话,摄像头LED指示灯就不会亮起,黑客在监控你时也就无影无形了。

安全建议

除此之外,该漏洞可以接着触发一个新的漏洞:CVE-2015-0346。这两个漏洞可以用来对系统实施任意代码执行攻击。这个漏洞的源自于Flash播放器设置管理器的脆弱保护机制,它是一个独立的程序,内嵌在网站的Flash应用可以对该管理器进行访问。

Adobe在本周已经发布了针对以上提及的两个漏洞(CVE-2015-0344和CVE-2015-0346)进行的修复升级。Google Chrome浏览器会通过自动更新修复漏洞,Windows 8上的IE浏览器也会如此。

*参考来源hackread,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 13 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 418 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php