Il semblerait en revanche que la classe LocalConnection puisse également être utilisée pour effectuer d'autres types de commandes. Mike a mis au point un site de démonstration ainsi qu'un petit programme imitant un malware. Ce dernier peut-être porté sur n'importe quel système et être « optimisé pour ne peser que 2 Ko ». Dans la mesure où ce programme n'accède à aucun port de connexion il n'est détecté par aucun antivirus. Il suffit d'entrer des commandes au sein d'une page web dotée d'un module Flash pour que celles-ci soient réalisée... directement sur sa machine.
Plutôt que d'écrire une commande manuellement comme dans l'exemple ci dessous, l'on pourrait imaginer un site frauduleux invitant l'internaute à cliquer sur un lien pour transférer ainsi une commande d'envoi de spam ou pour récupérer des informations en local et les retourner vers un serveur distant. Le prototype ci dessous montre par exemple qu'il est possible de mettre la machine en veille.
« On peut tout faire », explique Mike, « et ca fonctionne sur n'importe quel navigateur, à l'exception de Chrome 21 ». La dernière version du navigateur de Google confine effectivement le plugin au sein d'un mode sandbox, l'empêchant ainsi de communiquer avec la machine de l'utilisateur.
La faille a été repérée il y a huit mois et Mike affirme avoir contacté Adobe à plusieurs reprises. Ce comportement a précédemment été observé par des cabinet de sécurité mais n'a pas été corrigé par Adobe. « A chaque mise à jour de Flash j'ai retesté », affirme Mike. Opera, Internet Explorer, Firefox ou encore Safari sont vulnérables sur Windows XP, Vista , 7, OS X Leopard, Snow Leopard, Lion ou Mountain Lion. Sur Linux, « c'est le système des droits qui au final interdira des gros dégâts », nous précise-t-on.
Voici une vidéo de démonstration :
