-> ->

Через уязвимость в Edge злоумышленники могут похитить любые файлы с компьютера

Компания Microsoft выпустила исправления для опасной уязвимости, которая могла испортить жизнь очень многим пользователям. Дело в том, что не так давно в фирменном браузере Edge обнаружена критическая дыра, через которую злоумышленники могли похитить любые локальные файлы, хранящиеся на компьютере пользователя.

По словам разработчиков, данная уязвимость представляла опасность для более ранних версий веб-обозревателя. В последней версии она уже успешно устранена. Но и тем, кто использует для работы старые версии Edge, нечего бояться, так как эксплуатация данной дыры является очень сложной и не каждый хакер готов за это взяться. К тому же методы социальной инженерии не очень хорошо подходят для эксплуатации этой критической уязвимости, так что наладить автоматизированное ее использование все равно не получится.

Обнаружить баг в Edge удалось сотруднику компании Netsparker Зияхану Альбенису, который занимается исследованиями в области кибербезопасности. Он выяснил, что новая дыра в фирменном браузере от Microsoft связана с концепцией SOP. Ее сегодня придерживаются разработчики абсолютно всех браузеров и веб-приложений. Благодаря этой концепции в веб-обозревателе предотвращается загрузка вредоносного кода по сторонней ссылке.

В Edge концепция SOP работает корректно во всех случаях, кроме одного. Если человек самостоятельно скачает на свой персональный компьютер зараженный HTML файл и после этого запустит его на своем ПК, имеющиеся в браузере механизмы защиты не смогут его защитить. На компьютере вредоносный код использует протокол file://protocol, через который он может получить доступ абсолютно к любому локальному файлу.

Во время изучения данной уязвимости Альбенис смог провести успешную атаку и похитить файлы с компьютера. Он отметил, что для успешного осуществления атаки злоумышленнику необходимо знать, где именно хранятся нужные файлы, чтобы их можно было быстро найти и отправить на удаленный сервер.

Массовое совершение такой атаки является нецелесообразным и практически невозможным, но зато с помощью уязвимости в концепции SOP можно совершать целенаправленные атаки.

Специалисты предупреждают, что вредоносный код в основном распространяется путем рассылки по электронной почте зараженных HTML-файлов. Чтобы защитить себя, лучше не открывать такие файлы у себя на компьютере. Но есть еще более надежный способ защиты. Лучше обновить свой браузер до самой последней актуальной версии, в которой уже реализована дополнительная защита от подобных атак.

Поставить рейтинг:(Рейтинг: 2.85, оценок: 245)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.