Lücke in Adobe-Software erlaubt Fernsteuerung von Webcams

Die Sicherheitsforscher Robert Hansen und Jeremiah Grossman haben eine Sicherheitslücke in einer Adobe-Anwendung entdeckt, welche die vollständige Kontrolle über das Mikrofon, die Webcam und die Audiowiedergabe eines Computers ermöglicht. Neben der Adobe-Software soll die Schwachstelle auch mehrere Browser betreffen, darunter Microsofts Internet Explorer.

Auf Wunsch des Herstellers haben die Entdecker der Sicherheitslücke eine geplante Demonstration ihres als „Clickjacking“ bezeichneten Angriffs auf der Sicherheitskonferenz Owasp USA verschoben. „Ich bin immer davon ausgegangen, dass es besser ist, eine mittelschwere bis schwere Schwachstelle zu veröffentlichen“, schreibt Hansen in einem Blogeintrag. „Ich habe mir aber auch immer gesagt, dass ich zuerst den Hersteller informiere, falls ich mal einen Weg für einen entfernten Angriff oder etwas derartig Schwerwiegendes finden sollte.“

Allgemein besteht zwischen den Entdeckern von Schwachstellen und den Herstellern der betroffenen Anwendungen ein Interessenskonflikt. Während die Sicherheitsforscher so schnell wie möglich die betroffenen Anwender über ein bestehendes Risiko informieren wollen, liegt es im Interesse der Hersteller, Details erst dann bekannt zu geben, wenn sie einen Patch bereitstellen können.

Im Sommer hatte das Vorgehen des Sicherheitsexperten Dan Kaminsky für Aufsehen gesorgt, der eine massive Sicherheitslücke im Domain Name System (DNS) entdeckt hatte. Aufgrund der Schwere der Schwachstelle hatte Kaminsky auch nach der Veröffentlichung der ersten Patches jegliche Informationen zurückgehalten, um Anwendern Zeit zu geben, die Sicherheitsupdates zu installieren.