[img=right]http://www.macfreak.nl/base/data/news/images/no-flash.jpg[/img]Nog een goede reden om geen Flash te installeren: Een bug in de Flash Player heeft het mogelijk gemaakt dat op afstand je iSight camera en microfoon te bekijken en af te luisteren waren. Als het goed is, is deze bug inmiddels gepatched.

Alleen zullen we dat nooit met zekerheid weten, omdat de bug (en dus de patch) zich in de settings manager bevindt en die staat op de servers van Adobe.

Het enige dat nodig is om deze bug te activeren is dat je met FireFox of Safari een speciaal geprepareerde site bezoekt die vervolgens een kwaadwillende .SWF bestand naar je computer stuurt waardoor beeld en geluid onderschept worden.

Zo werkt het.

Het is maar dat je het weet.

Gaat het bijbehorende lampje niet branden?

Werkt al niet meer.
Is gefixed door Adobe

Maar het gaat het eigenlijk niet om of deze ellende nog werkt, we kunnen in het nieuwsbericht ook al lezen dat Adobe dat op de server heeft aangepast.

De vraag lijkt me: waarom in hemelsnaam heeft Flash mogelijk de controle over mijn iSight camera en mijn microfoon..?!

Robert om 16:04, 25-10-2011

De vraag lijkt me: waarom in hemelsnaam heeft Flash mogelijk de controle over mijn iSight camera en mijn microfoon..?!

Hoezo? Dat kan toch best nuttig zijn. Bijvoorbeeld voor een video- of audio-boodschap. Er zijn ook sites die daar gebruik van maken. Flash vraagt dan wel toestemming aan de eindgebruiker.

@ Blender: ik heb dat nog nooit meegemakt, maar vind het eerlijk gezegd niet zo prettig dat dit zo is. Adobe heeft met Flash nu eenmaal niet zo'n goede naam qua veiligheid opgebouwd...

Flash is toch slechts een applicatie? Wanneer hier dan veiligheids issues spelen dan ligt dat aan de gebruiker of het OS.

Neen, want wanneer je het nieuwsbericht leest, dan had je kunnen zien dat de Flash applicatie 'bestuurd' wordt vanaf de servers van Adobe door middel van de 'settings manager'.

En daar zat nu juist de kwetsbaarheid.
Dus noch het OS, noch de gebruiker kan hier iets aan doen.

Vreemd. Ik zou zeggen dat het een fout is in het OS wanneer daar toegang gegeven wordt aan apparatuur zonder medeweten of toestemming van gebruiker. En dat terwijl ik onder b.v. Lion al helemaal doldraai van het aantal keren dat je je moet autoriseren.

Hallo MacFreaks

zoelman om 14:34, 25-10-2011
Gaat het bijbehorende lampje niet branden?

Dat zou ik ook graag willen weten.  Of eigenlijk; Kan de camera aan, zonder dat het lampje aan gaat (en vice versa)?  Los van het feit of bovenstaande bug dat voor elkaar krijgt.

groetjes

Mathy

Robert om 16:44, 25-10-2011
@ Blender: ik heb dat nog nooit meegemakt, maar vind het eerlijk gezegd niet zo prettig dat dit zo is. Adobe heeft met Flash nu eenmaal niet zo'n goede naam qua veiligheid opgebouwd...

Toch is het leuk dat het kan. Het is toch grappig dat je op een hele simpele manier zo'n video-boodschap op kan nemen? Er zijn inderdaad veiligheidsissues maar heb er zelf nooit last van gehad (terwijl ik wel een paar jaar met een gevaarljjke player versie heb gewerkt). Als je de player up to date houdt is er weinig aan de hand. Ook van flash crashes heb ik nooit last wel van een op hol slaande ventilator en dat is wel erg irritant.

Blender om 20:24, 25-10-2011Als je de player up to date houdt is er weinig aan de hand.

En dat is dus niet zo, gezien dit nieuws.
Dit veiligheidslek zit dus niet in de Player, maar in de settings manager bij Adobe.

Je kunt hier als gebruiker helemaal niets aan doen, behalve Little Snitch draaien en de Player geen 'zend' bevoegdheden geven.