Adobe ha risolto in maniera definitiva un curioso bug presente nel pannello di controllo di Flash Player che consentiva di spiare gli utenti tramite la Webcam e il microfono del PC, normalmente attivabili solo dall’utente.

Questo problema di clickjacking veniva sfruttato invitando l’utente a visitare un sito Internet e a cliccare su alcuni pulsanti presenti su pagine Web contenenti un iframe in grado di modificare le impostazioni di Flash Player Settings Manager, ospitato sul dominio di Macromedia, e autorizzare l’accesso alla Webcam. Il tutto avveniva, ovviamente, all’insaputa dell’utente.

Sebbene con versione 11 di Flash Player il pannello di controllo sia stato riportato sul desktop, quello sui server di Macromedia è ancora attivo. A scoprire il bug è stato uno studente della Stanford University, Feross Aboukhadijeh, che ne ha dato notizia la settimana scorsa sul proprio blog pubblicando anche su YouTube un filmato di esempio dell’attacco (vedi video in alto).

Adobe ha risolto il problema lato server (gli utenti non devono quindi aggiornare alcunché sul proprio PC) apportando le dovute correzioni al file delle impostazioni di Flash Player presente sui server Web dell’azienda.