Новости
Всё о Windows 10
Windows 8
Windows 7
Новости Windows
Новости НеWindows
Безопасность
Программы
Вокруг софта
Мобильная жизнь
Игры
Интернет
Железо
Наука и техника
Бизнес
Колонка редактора
Не про софт
Программы
Игры
Блоги
Форум
Я 
Софтодром
Браузер Microsoft Edge позволял красть файлы с компьютераКомпания Microsoft закрыла уязвимость в своем браузере Edge, которая открывала злоумышленникам доступ к локальным файлам, хранящимся на компьютере пользователя, сообщает Threatpost. Метод позволял при помощи специально созданных HTML-страниц обойти правило ограничения домена (Same-Origin Policy, SOP), не привлекая внимания антивирусных систем. Политика безопасности SOP запрещает скриптам на веб-странице получать данные с других сайтов. В противном случае злоумышленники могли бы, например, заманив пользователя на свою площадку, обратиться от его лица к онлайн-банку или другому веб-ресурсу, в котором тот авторизован, и провести незаконную операцию. Согласно принципам SOP, для успешного обмена запросами между двумя элементами они должны иметь общий домен, порт и протокол. Однако, как оказалось, это ограничение можно было обойти с помощью зловредного HTML-вложения. HTML-документы, хранящиеся локально, открываются в окне интернет-браузера. При этом в адресной строке отображается протокол file://. Правила SOP в браузере Edge разрешали скриптам из такого HTML-документа обращаться к другим файлам, которые также можно просматривать в браузере через file://. Поскольку все они хранятся локально, у них отсутствуют домен и порт, т. е. эти значения совпадают по умолчанию. Протокол доступа также одинаков, поэтому политика SOP считала доступ оправданным. Обнаруживший эту уязвимость эксперт опубликовал видео с демонстрацией атаки. Браузер сначала открывает вредоносное вложение, а затем, буквально через секунду, открывает целевой TXT-документ на соседней вкладке. Программа не предупреждает о том, что скрипт читает локальный файл, поэтому пользователь может и не узнать о компрометации своих данных. Чтобы эта технология сработала, жертва должна сама сохранить, а затем открыть HTML-вложение. Благодаря этой особенности автоматизировать механизм и проводить массовые атаки через данную уязвимость нельзя. Кроме того, злоумышленник должен точно знать путь к интересующим его данным. Тем не менее, как отмечают специалисты, метод может оказаться эффективным при целевых атаках, которые предполагают длительную подготовку с выяснением всех необходимых деталей.
|
|
Все рубрики статей:
|
Топ-сегодня: Безопасность
Как удалить данные без возможности восстановления Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить Вирус заражает «во имя святого духа» и требует денег на храм Появился вирус, шифрующий данные на компьютере пользователя «во имя отца, сына и святого духа» и требующий перечислить деньги на строительство храма Хакеры похитили данные 100 млн аккаунтов Quora Сайт Quora входит в сотню самых популярных ресурсов Интернета и занимает второе место после Википедии в категории «Словари и энциклопедии» В App Store нашли фитнес-приложения, крадущие средства со счетов пользователей Потенциальным жертвам предлагалось отсканировать отпечаток пальца, чтобы запустить улучшенную версию приложения и увидеть персональные рекомендации по питанию, в этот момент подтверждался платеж с помощью Touch ID Как узнать имя пользователя Mail.Ru
Компания Mail.Ru Group хорошо известна своей заботой о приватности пользователей, и поэтому принадлежащие ей соцсети «ВКонтакте» и «Одноклассники» не удаляют удаленные фотографии, а почта не удаляет контакты |
Новые статьи: Безопасность
В App Store нашли фитнес-приложения, крадущие средства со счетов пользователей Потенциальным жертвам предлагалось отсканировать отпечаток пальца, чтобы запустить улучшенную версию приложения и увидеть персональные рекомендации по питанию, в этот момент подтверждался платеж с помощью Touch ID Хакеры похитили данные 100 млн аккаунтов Quora Сайт Quora входит в сотню самых популярных ресурсов Интернета и занимает второе место после Википедии в категории «Словари и энциклопедии» 21-летний житель Кургана получил условный срок за криптоджекинг Злоумышленник изучал методы взлома, читая форумы в дарквебе, а для проникновения на целевые устройства использовал программы для подбора паролей Хакеры Anonymous опубликовали новые документы британского проекта Integrity Initiative Среди доступных материалов — доклады и аналитические записки о якобы имеющем место вмешательстве России во внутреннюю политику Германии, Греции и Испании Восьмерых граждан России и Казахстана будут судить в США за масштабное мошенничество в Интернете
Большую помощь в расследовании оказали специалисты компаний Google, Microsoft, ESET, Trend Micro, Symantec, F-Secure, Malwarebytes и активисты некоммерческих организаций |