ГлавнаяНовостиНовостиНовости, 201907Новости, 201907 → Особенность Firefox превратили в возможность воровать файлы. Работает на всех ОС. Видео

Особенность Firefox превратили в возможность воровать файлы. Работает на всех ОС. Видео

Реализация правила ограничения домена в Firefox позволяет красть файлы. Проблема не зависит от операционной системы. В Mozilla считают, что всё работает именно так, как надо.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Знакомства] | [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Заработок в партнерских программах Рунета | Деньги ушли в Сеть | «Одноклассник» ушел за кредитами | Синхронизация данных в социальных сетях | "В контакте" начинает зарабатывать | Кто хочет раскулачить рунет? | Выживут ли социальные сети? | Интернет: спасение от кризиса в сказочной стране? | Россиян приучат к интернет-деньгам | Деньги за аватару для президента Медведева | Социальные сети: платные услуги и акции протеста | Приостановлена деятельность криминального американского интернет-провайдера | 200 миллионов из России для Facebook | WebMoney запустила приложение для социальных сетей | Создателям «Твиттера» пора стать бизнесменами | Мелочный расчет в социальных сетях | J’son & Partners исследовала рынок порталов Рунета | Взгляды он-лайн и офф-лайн пользователей на методы оплаты |омнительное правило

Открытие жертвой специально подготовленного HTML-файла в Firefox позволяет злоумышленникам красть файлы на компьютере, на котором установлен браузер Firefox.

Источником проблемы является как раз сам браузер, а вернее реализация в нем правила ограничения домена (Same Origin Policy) в Firefox.

Это правило (в английском - Same Origin Policy, т.е. принцип одинакового источника) предполагает, что сценариям, находящимся на страницах одного сайта, открыт доступ к методам и свойствам друг друга без ограничений, но закрывается доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковыми считаются источники, у которых совпадают домен, порт и протокол.

Независимый эксперт по информационной безопасности приложений Барак Тони (Barak Tawny) опубликовал на The Hacker News своё исследование, а также описал возможную атаку на реализацию SOP, продемонстрировав, что созданный им эксплойт работает против последних версий браузера.

По словам Тони, в Firefox правило ограничения домена для схемы URI file выставлено так, что на любой поддерживаемой Firefox операционной системе киберзлоумышленник может красть файлы.

В качестве примера он демонстрирует, как в среде Linux можно с лёгкостью похитить SSH-ключи, если жертва сохраняет скачанный файл в тот же каталог, где находится другой подкаталог с секретными ключами.

Скачайте вредоносный файл, пожалуйста

Злоумышленнику потребуется отправить жертве почтовое сообщение с вредоносным вложением или заманить её на вредоносный сайт и заставить скачать нужный HTML-файл; в нём будет содержаться iframe, некое подобие кнопки, при нажатии на которую производится атака типа Clickjacking, благодаря которой в iframe того же окна открывается список всех файлов в той же папке, куда загружен вредоносный HTML. Далее злоумышленник без труда может вытянуть любой из этих файлов.

Атака будет выглядеть сходным образом во всех операционных системах, в которых можно запустить Firefox.

По словам Тони, все эти действия могут производиться автоматически в фоновом режиме, - от жертвы понадобится только нажать на злополучную кнопку.

По словам эксперта, он обратился к разработчикам Mozilla, но те не проявили никакого интереса к проблеме. «Наша реализация правила ограничения домена допускает возможность доступа к любому файлу в том же каталоге и его подкаталогах через file://», - заявили в Mozilla.

«По-видимому, это тот самый случай, когда функция работает исправно и как заявлено, но при этом её можно использовать и как вектор атаки, - считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Теперь главный вопрос состоит в том, как разработчики Firefox сочтут необходимым реагировать, то есть, будут ли реализованы дополнительные меры защиты или всё останется как было».

ГлавнаяНовостиНовостиНовости, 201907Новости, 201907 → Особенность Firefox превратили в возможность воровать файлы. Работает на всех ОС. Видео

ФСБ сажает россиянина в тюрьму за GPS-трекеры для собак

Сотрудники ФСБ завели дело на россиянина за то, что он пытался продать GPS-трекеры Mini A8, купленные для своих собак. Теперь ему грозят четыре года тюрьмы, а следователь, ведущий это дело, не хотел приобщать к нему важные доказательства. После анало...

Как организовать безопасный удаленный доступ для любого числа сотрудников?

В нынешней ситуации бизнес должен принимать во внимание, что киберпреступники готовы использовать слабые места и пробелы в безопасности, которые возникают из-за стремительного перехода сотрудников компании на новый формат работы. Неподготовленные пол...

Правообладатели хотели засудить «пирата», но в итоге остались должны ему деньги

Кинокомпания Criminal Productions подала в суд на американца Даррена Бринкли и еще 31 человека за незаконное скачивание и распространение ее фильма «Преступник» c помощью торрент-клиента. Бринкли отказался платить компенсацию, сославшись на то, что и...

IDC: по итогам 2020 года интенсивность использования принтеров резко снизится

Это связано в первую очередь с пандемией коронавируса, из-за которой методы офисной работы претерпели значительные изменения....

На мировом рынке ПК сменился лидер

По итогам II квартала 2020 г. в глобальные лидеры рынка традиционных персональных компьютеров вырвалась компания HP, опередив Lenovo. Об этом сообщили аналитики International Data Corporation (IDC) со ссылкой на данные ежеквартального мониторинга Wor...

[Популярные социальные сети] [*Добавить сайт]

Нравится


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |