Баг в браузере Microsoft Edge позволяет похищать локальные файлы - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
Популярные статьи
  • 23 ноябрь 2024, 00:00
Провалился крупнейший проект по производству электромобильных батарей в Европе — Northvolt объявила о банкротстве - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
       
  • 24 март 2016, 17:40
Написание эффективного кода
  • 24 март 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
  • 25 апрель 2024, 01:19
Скачать приложение Betera на Android
3-08-2018, 22:00
Баг в браузере Microsoft Edge позволяет похищать локальные файлы - «Новости»
Рейтинг:
Категория: Новости

Специалисты компании Netsparker обнаружили уязвимость (CVE-2018-0871) в Edge. В настоящее время проблема уже исправлена, но она позволяет атаковать старые версии браузера и похищать локальные файлы пользователей.


Баг связан с работой функциональности Same-Origin Policy (SOP). В Edge, равно как и в других браузерах, SOP используется для предотвращения загрузки вредоносного кода посредством ссылок, чей домен, поддомен, порт и протокол не соответствуют оригинальным. И все работает как должно, за исключением одного сценария: если пользователь сам загружает вредоносный файл HTML на свою машину и запускает его.


Если пользователь запускает такой файл HTML, вредоносный код будет загружен через file://, то есть он не будет иметь домена и порта. А значит, в этом файле может содержаться код, ответственный за сбор и кражу любых локальных файлов с компьютера жертвы через URL file://. Хуже того, таким образом в браузере доступны любые файлы ОС, что дает атакующему огромное пространство для маневра.


Исследователи записали видеодемонстрацию атаки, в ходе которой им удалось передать на удаленный сервер локальные файлы с компьютера, просто запуская вредоносный HTML-файл в Edge, а также приложении Mail and Calendar.




Разумеется, такая атака подразумевает, что преступнику уже известно, где именно размещаются нужные файлы. Однако многие файлы ОС и приложений имеют известные и неизменные пути, а в ряде случаев адрес файла можно попросту угадать или подобрать. Эксперты пишут, что подобный метод  вряд ли будет эффективен для массового распространения малвари, однако он хорошо подойдет для направленных атак на важные цели.


Хотя во время июльского «вторника обновлений» разработчики Microsoft уже устранили баг в Edge и Mail and Calendar, исследователи предупреждают, что открывать файлы HTML, полученные из недоверенных источников, все равно крайне опасно. Дело в том, что файлы HTML вообще редко вызывают у пользователей подозрения. Так, по данным аналитиков F-Secure, чаще всего в ходе спам-кампаний используются вредоносные вложения всего пяти типов: ZIP, DOC, XLS, PDF и 7Z. Но это не означает, что другие вложения гарантировано не представляют угрозы.


Источник новостиgoogle.com

Специалисты компании Netsparker обнаружили уязвимость (CVE-2018-0871) в Edge. В настоящее время проблема уже исправлена, но она позволяет атаковать старые версии браузера и похищать локальные файлы пользователей. Баг связан с работой функциональности Same-Origin Policy (SOP). В Edge, равно как и в других браузерах, SOP используется для предотвращения загрузки вредоносного кода посредством ссылок, чей домен, поддомен, порт и протокол не соответствуют оригинальным. И все работает как должно, за исключением одного сценария: если пользователь сам загружает вредоносный файл HTML на свою машину и запускает его. Если пользователь запускает такой файл HTML, вредоносный код будет загружен через file://, то есть он не будет иметь домена и порта. А значит, в этом файле может содержаться код, ответственный за сбор и кражу любых локальных файлов с компьютера жертвы через URL file://. Хуже того, таким образом в браузере доступны любые файлы ОС, что дает атакующему огромное пространство для маневра. Исследователи записали видеодемонстрацию атаки, в ходе которой им удалось передать на удаленный сервер локальные файлы с компьютера, просто запуская вредоносный HTML-файл в Edge, а также приложении Mail and Calendar. Разумеется, такая атака подразумевает, что преступнику уже известно, где именно размещаются нужные файлы. Однако многие файлы ОС и приложений имеют известные и неизменные пути, а в ряде случаев адрес файла можно попросту угадать или подобрать. Эксперты пишут, что подобный метод вряд ли будет эффективен для массового распространения малвари, однако он хорошо подойдет для направленных атак на важные цели. Хотя во время июльского «вторника обновлений» разработчики Microsoft уже устранили баг в Edge и Mail and Calendar, исследователи предупреждают, что открывать файлы HTML, полученные из недоверенных источников, все равно крайне опасно. Дело в том, что файлы HTML вообще редко вызывают у пользователей подозрения. Так, по данным аналитиков F-Secure, чаще всего в ходе спам-кампаний используются вредоносные вложения всего пяти типов: ZIP, DOC, XLS, PDF и 7Z. Но это не означает, что другие вложения гарантировано не представляют угрозы. Источник новости - google.com

Теги: CSS, файлы будет локальные вредоносный Edge

Просмотров: 758
Комментариев: 0:   3-08-2018, 22:00
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
ДОБАВИТЬ БАННЕР