adobe flash player devient Big Brother

timmyzecat · Le 10/10/2008, à 23:50

une faille de sécurité assez originale a été découvert sur le logiciel adobe flash player et son plugin.
cela touche toutes les versions du flashplayer sauf la version 10 ( pas top pour ubuntu 8.04 LTS...)
en cas de visite sur un site malveilant ou corrompu, un code spécifique permettrait d'activer votre micro et votre webcam, voir vous filmer à votre insu.
aucun navigateur web est épargné...

et voici une demo realisé par la personne qui a découvert cette faille
http://blog.guya.net/2008/10/07/malicio … ckjacking/
[youtube]http://www.youtube.com/watch?v=gxyLbpldmuU[/youtube]
vous etes victime d'un clickjacking
Big Brother s'invite chez vous et peut vous observer.
si vous vous retrouvez sur youtube contre votre gré, fallait pas oublier de mettre a jour votre systeme.
vu que c'est un logiciel propriétaire, il n'est pas maintenu par Canonical et ceux qui l ont installé sont vulnérables.
merci adobe

http://www.certa.ssi.gouv.fr/site/CERTA … I-490.html

edit:
pour l'instant aucune mise a jour prévu pour ce probleme par adobe.
c'est big brother qui va etre content
une solution provisoire est proposé ici
http://www.thesiteoueb.net/modules/news … oryid=3478
si vous avez firefox , vous pouvez installer le module complémentaire NoScript et bloquer tout code malveillant.

sinon virez adobe flash et prenez swfdec

sudo apt-get remove swfdec-mozilla mozilla-plugin-gnash  gnash flashplugin-nonfree
sudo apt-get install swfdec-mozilla

vive le libre!!!

edit 13/10

une conférence a Kualalupur le 27 oct sera donné par les découvreurs de cette faille de sécurité.
il sera rendu publique la vulnérabilité des browser web face au clickjacking
http://news.softpedia.com/news/Critical … 4517.shtml

donc j'espère que adobe, mozilla, microsoft, apple, google ... auront pu corrigé cette faille de leur logiciel.
pour l'instant Firefox conseille le module complementaire noscript et ainsi bloquer les iframes.
mais quid pour Internet Explorer quand on sait qu il represente 55% des browser installés...

@@SEE AND WAIT@@

Dernière modification par timmyzecat (Le 13/10/2008, à 07:36)

Lstr · Le 11/10/2008, à 07:42

euh... il faut arrêter la drogue !!! O_o

http://secunia.com/advisories/32163/

...la c*nnerie, et la publicité mensongère aussi

timmyzecat · Le 11/10/2008, à 07:51

je me shoote à l'herbe à chat
tu veux essayer, miaouuuuu

n'empeche que la fiction commence à rejoindre la réalité.
il est prouvé qu il est possible d'espionner une personne à distance à son insu .
le clickjacking n 'est plus qu un simple systeme qui permet de controler le curseur de la souris et forcer la personne à cliquer vers des liens précis d'une page web corrompue.
vive le progrès informatique.

la technique pour exploiter la faille de sécurité n'est diffusé pas publiquement pour l'instant.
mais il est probable que le clickjacking devienne le nouveau sport préféré des hackers pour les prochains mois.

http://www.zdnet.fr/actualites/informatique/0,39040745,39383951,00.htm?xtor=RSS-1

Dernière modification par timmyzecat (Le 11/10/2008, à 10:10)

philou11 · Le 11/10/2008, à 08:58

Suffit alors de passer à la version 10, elle fonctionne très bien sous Hardy

Eza · Le 11/10/2008, à 12:02

Comme dit avec un no script...
Il faut être fou pour laisser par défaut n'importe quel site accéder au javascript... Suffit après d'autoriser les sites de confiance et c'est bon,

Ludovic

Blakesnake · Le 11/10/2008, à 12:38

comme le gamin qui criait au loup. Mais n'empèche que j'ai mis un papier pour obstruer ma webcam intégrée, on sait jamais (quoi que si c'était vrai cette histoire, il y a un voyant bleu qui m'indique que ma webcal est utilisée)

Ras' · Le 11/10/2008, à 13:02

Blakesnake a écrit :

Mais n'empèche que j'ai mis un papier pour obstruer ma webcam intégrée, on sait jamais

Ca prouve bien comment on nous enferme dans de la paranoïa excessive..., je rigole mais je devrais même pas en fait.
Au cas ou tu te sois jamais servi de ta webcam, généralement y'a une petite diode qui te dis qu'elle est allumée comme tu dis, installe cheese, teste la et tu verra quand elle s'allume c'est bleu (chez moi c'est bleu)
Si tu t'en est déja servi et que c'était avec skype ou msn, t'as beaucoup plus de souci à te faire sur ces protocoles que sur le clickjacking...

Dert Ung · Le 11/10/2008, à 17:46

flash linux, c trop de la m....

quand je regarde les guignols, j'ai même pas droit au mode " plein écran". contrairement à win qui lui marche. et vu la taille de visionnage de la vidéo, c pas glop du tout. heureusement qu'il y a " super+molette souris" de compiz-fission.
je ne vous raconte pas quand elle obstrue le menu d'une catégorie( ex cdiscount en toute première page).

Dert Ung · Le 11/10/2008, à 21:56

Bugmaster a écrit :

Chez moi ça marche
Installe le player 10 peut être ?

toujours la même chose. même bug

http://www.cdiscount.com/home/default.asp

va sur ce site et passe la souris sur informatique par exemple. il y a une liste qui se déroule mais elle passe sous la grosse animation flash. sur win elle passe dessus.

lucmars · Le 11/10/2008, à 22:13

Lstr a écrit :

euh... il faut arrêter la drogue !!! O_o
http://secunia.com/advisories/32163/
...la c*nnerie, et la publicité mensongère aussi

Oui mais justement, pour les jeux :

http://www.theregister.co.uk/2008/10/07/clickjacking_surveillance_zombie/

In our tests, the the proof-of-concept didn't work until after we enabled our video cam in the Windows XP Device Manager. Even then, we had trouble getting it to work with Firefox, possibly because we had the NoScript extension running (but disabled). But we had no such problems when using Internet Explorer. Within 40 seconds of pressing start, there we were playing the game. The words "Your camera was clickjacked" appeared in red.

Pour le plus drôle.

Pour tester (avec Flash) :

http://guya.net/security/clickjacking/game.html

Ras' · Le 12/10/2008, à 00:10

Ah ben chouette et merde en même temps... Parce que c'est pareil sur le site de mon école mais si ça marche avec flash 10 j'aurais aucun poids pour leur dire que leur anim flash c'est du caca et ça sert à rien... faut que j'aille vite gueuler avant la sortie d'intrepid !

Dert Ung · Le 12/10/2008, à 00:50

Bugmaster a écrit :

henhlen a écrit :
va sur ce site et passe la souris sur informatique par exemple. il y a une liste qui se déroule mais elle passe sous la grosse animation flash. sur win elle passe dessus.
Les guignols j'ai jamais eu de souci je crois.
Les menus qui passent sous le flash j'avais ça sous Hardy/Flashplayer9, mais depuis que je suis sous Intrepid/Flashplayer 10, aucun souci.
Toi, avec le 10, ça continue à merder ?

oui sous hardy/Flash10.

brakbabord · Le 12/10/2008, à 01:15

La prochaine fois, quand les gens se plaindront que leur webcam ne marche pas sur Linux, on pourra leur rétorquer que ça leur a sauvé la vie

timmyzecat · Le 13/10/2008, à 07:33

une conférence a Kualalupur le 27 oct sera donné par les découvreurs de cette faille de sécurité.
il sera rendu publique la vulnérabilité des browser web face au clickjacking
http://news.softpedia.com/news/Critical … 4517.shtml

donc j'espère que adobe, mozilla, microsoft, apple, google ... auront pu corrigé cette faille de leur logiciel.
pour l'instant Firefox conseille le module complementaire noscript et ainsi bloquer les iframes.
mais quid pour Internet Explorer quand on sait qu il represente 55% des browser installés...

@@SEE AND WAIT@@

genma · Le 13/10/2008, à 08:28

mais quid pour Internet Explorer quand on sait qu il represente 55% des browser installés...

Et surtout quelle version? Parce que surfer avec IE6, c'est comme rouler dans une voiture sans freins... Ca marche, jusqu'au moment où on a besoin des freins....

heuuuuu · Le 13/10/2008, à 08:37

Quoi, y'en a encore qui utilise flash ?

Zergy · Le 13/10/2008, à 09:40

Et si on a ni micro ni webcam ?

Ah bin ça marche moins bien ma bonne dame...

Dernière modification par Zergy (Le 13/10/2008, à 09:41)

bloublou · Le 13/10/2008, à 11:09

heuuuuu a écrit :

Quoi, y'en a encore qui utilise flash ?

Apparemment
C'est fou

timmyzecat · Le 13/10/2008, à 12:18

genma a écrit :

mais quid pour Internet Explorer quand on sait qu il represente 55% des browser installés...
Et surtout quelle version? Parce que surfer avec IE6, c'est comme rouler dans une voiture sans freins... Ca marche, jusqu'au moment où on a besoin des freins....

IE6 représente 1/4 des browser installés, ca va faire une hécatombe sur les autoroute de l information

http://www.w3schools.com/browsers/browsers_stats.asp

Dernière modification par timmyzecat (Le 13/10/2008, à 12:43)

Kurokame · Le 13/10/2008, à 12:56

Si seulement l'hécatombe pouvait être cantonnée au flash ou tout autre produit fermé sur les autoroutes ouvertes.
Parce que cette odeur de poudre aux narines de m$, c'est du pain béni pour remettre en avant sont bidule silverlight/moonlight et nous faire bouffer sa techno auprès des "acteurs" du minitel2.0 plutôt que de s'orienter vers des trucs moins dégueu comme javafx.

tylhdar · Le 13/10/2008, à 14:04

http://www.pcinpact.com/actu/news/46604-adobe-flash-clickjacking-webcam.htm?vc=1&cid=1840639#c1840639

Ras' · Le 13/10/2008, à 14:46

Waw, le lien donné dans les commentaires ( http://www.planb-security.net/notclickjacking/iframetrick.html ) est plutôt impressionant !
Bon sur la page les bouton "click here" sont pas coincident avec le myspace de derrière (du moins chez moi) mais en s'appliquant un peu y'a moyen de faire ce qu'on veut des users Oo'

Sinon dans cet exemple c'est quand même flash qui nous sauve vu que la pub de la page myspace apparait au dessus, du coup au milieu de nulle part, du coup c'est louche ^^

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/10/2008, à 23:50

adobe flash player devient Big Brother

#2 Le 11/10/2008, à 07:42

Re : adobe flash player devient Big Brother

#3 Le 11/10/2008, à 07:51

Re : adobe flash player devient Big Brother

#4 Le 11/10/2008, à 08:58

Re : adobe flash player devient Big Brother

#5 Le 11/10/2008, à 12:02

Re : adobe flash player devient Big Brother

#6 Le 11/10/2008, à 12:38

Re : adobe flash player devient Big Brother

#7 Le 11/10/2008, à 13:02

Re : adobe flash player devient Big Brother

#8 Le 11/10/2008, à 17:46

Re : adobe flash player devient Big Brother

#9 Le 11/10/2008, à 21:56

Re : adobe flash player devient Big Brother

#10 Le 11/10/2008, à 22:13

Re : adobe flash player devient Big Brother

#11 Le 12/10/2008, à 00:10

Re : adobe flash player devient Big Brother

#12 Le 12/10/2008, à 00:50

Re : adobe flash player devient Big Brother

#13 Le 12/10/2008, à 01:15

Re : adobe flash player devient Big Brother

#14 Le 13/10/2008, à 07:33

Re : adobe flash player devient Big Brother

#15 Le 13/10/2008, à 08:28

Re : adobe flash player devient Big Brother

#16 Le 13/10/2008, à 08:37

Re : adobe flash player devient Big Brother

#17 Le 13/10/2008, à 09:40

Re : adobe flash player devient Big Brother

#18 Le 13/10/2008, à 11:09

Re : adobe flash player devient Big Brother

#19 Le 13/10/2008, à 12:18

Re : adobe flash player devient Big Brother

#20 Le 13/10/2008, à 12:56

Re : adobe flash player devient Big Brother

#21 Le 13/10/2008, à 14:04

Re : adobe flash player devient Big Brother

#22 Le 13/10/2008, à 14:46

Re : adobe flash player devient Big Brother

Pied de page des forums