Новость дня: Сроки предустановки отечественного софта на гаджеты решили перенести

Браузер Microsoft Edge позволял красть файлы с компьютера




Компания Microsoft закрыла уязвимость в своем браузере Edge, которая открывала злоумышленникам доступ к локальным файлам, хранящимся на компьютере пользователя, сообщает Threatpost.

Метод позволял при помощи специально созданных HTML-страниц обойти правило ограничения домена (Same-Origin Policy, SOP), не привлекая внимания антивирусных систем.

Политика безопасности SOP запрещает скриптам на веб-странице получать данные с других сайтов. В противном случае злоумышленники могли бы, например, заманив пользователя на свою площадку, обратиться от его лица к онлайн-банку или другому веб-ресурсу, в котором тот авторизован, и провести незаконную операцию. Согласно принципам SOP, для успешного обмена запросами между двумя элементами они должны иметь общий домен, порт и протокол.

Однако, как оказалось, это ограничение можно было обойти с помощью зловредного HTML-вложения.

HTML-документы, хранящиеся локально, открываются в окне интернет-браузера. При этом в адресной строке отображается протокол file://. Правила SOP в браузере Edge разрешали скриптам из такого HTML-документа обращаться к другим файлам, которые также можно просматривать в браузере через file://. Поскольку все они хранятся локально, у них отсутствуют домен и порт, т. е. эти значения совпадают по умолчанию. Протокол доступа также одинаков, поэтому политика SOP считала доступ оправданным.

Обнаруживший эту уязвимость эксперт опубликовал видео с демонстрацией атаки. Браузер сначала открывает вредоносное вложение, а затем, буквально через секунду, открывает целевой TXT-документ на соседней вкладке. Программа не предупреждает о том, что скрипт читает локальный файл, поэтому пользователь может и не узнать о компрометации своих данных.

Чтобы эта технология сработала, жертва должна сама сохранить, а затем открыть HTML-вложение. Благодаря этой особенности автоматизировать механизм и проводить массовые атаки через данную уязвимость нельзя. Кроме того, злоумышленник должен точно знать путь к интересующим его данным. Тем не менее, как отмечают специалисты, метод может оказаться эффективным при целевых атаках, которые предполагают длительную подготовку с выяснением всех необходимых деталей.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
23.11.2020 06:14

Россияне назвали самый популярный способ обезопасить данные на ноутбуке

Более трети россиян скрывают свои персональные данные во всех социальных сетях, не заполняют профили или создают фейковые аккаунты


16.11.2020 22:33

Хакеры усилили атаки на медицинские учреждения

Как отмечают эксперты, это обусловлено повышенным интересом киберпреступников к медицинским организациям, которые сейчас находятся на передовой в борьбе с коронавирусной инфекцией


16.11.2020 05:50

МВД внедрит нейросети для поиска серийных убийц и создания фотороботов

МВД России представило проект по внедрению искусственного интеллекта для выявления серийных преступлений и определения внешности преступника


29.10.2020 22:22

В Москве задержали 13 участников банды, кравшей деньги с банковских карт

По предварительным данным, подозреваемые оформили свыше 420 заказов техники, совершив более 70 хищений


20.10.2020 16:23

Северокорейские хакеры Kimsuky атакуют российскую оборонку

Северокорейская хакерская группировка Kimsuky заинтересовалась военными и промышленными организациями в России


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


23.11.2020 06:14

Россияне назвали самый популярный способ обезопасить данные на ноутбуке

Более трети россиян скрывают свои персональные данные во всех социальных сетях, не заполняют профили или создают фейковые аккаунты


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion


10.09.2019 16:36

МВД Беларуси закрыло крупный русскоязычный хакерский форум

Министерство внутренних дел и Следственный комитет Беларуси закрыли один из крупнейших хакерских форумов Рунета


» Оставьте первым свой комментарий

Новости /
Безопасность /
Браузер Microsoft Edge позволял красть файлы с компьютера
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика