Flash-kwetsbaarheden in YouTube gedicht

Flash-kwetsbaarheden YouTube gedichtDe Franse onderzoeker Enguerran Gillier ontdekte meerdere Flash-lekken in Youtube. Door de kwetsbaarheden konden aanvallers in sommige gevallen de Google-accounts van gebruikers identificeren. In het ergste geval konden daardoor YouTube-, Google Drive- en Google Docs-accounts worden overgenomen. Google heeft de Flash-kwetsbaarheden inmiddels gedicht.

Onderzoeken van Enguerran Gillier

Tijdens eerdere onderzoeken stuitte Gillier al op problemen in Facebook, WordPress, Uber en Paypal. Dit keer ontdekte hij lekken in Flash. Google is het gebruik van Flash-technologie aan het uitfaseren. Bij YouTube wordt er echter nog wel gebruik van gemaakt. Gillier stelde dat de programmeerinterfaces voor Flash, waar YouTube mee werkte, verschillende kwetsbaarheden bevatten.

Diverse Flash-kwetsbaarheden ontdekt

Gebruikers die ingelogd waren op hun Google-account terwijl zij een kwaadaardige website bezochten liepen door de Flash-kwetsbaarheden gevaar. De website kon dan via een kwaadaardig Flash-bestand de Google gebruikersnaam van de bezoeker achterhalen.

Eén van de andere kwetsbaarheden zorgde er voor dat cybercriminelen YouTube-accounts konden overnemen. Ook hiervoor moest een gebruiker zijn ingelogd tijdens het bezoek aan een kwaadaardige website. Aanvallers konden op die manier privégegevens en privévideos van het account bekijken. Zij konden de accounts ook gebruiken om reacties uit naam van het slachtoffer te plaatsen of alle video’s van het slachtoffer te verwijderen.

Bij een derde lek was het risico groter. Die bood aanvallers de mogelijkheid om YoutTube, Google Drive én Google Docs-accounts over te nemen. Ook hiervoor moesten slachtoffers ingelogd zijn en zij moesten beschikken over een Flash Player.

Flash-kwetsbaarheden gedicht

Nadat Gillier Google heeft ingelicht over de Flash-kwetsbaarheden zijn de lekken verholpen. Gillier heeft een beloning ontvangen voor zijn hulp bij het ontdekken van de misstanden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *