SOS :: Security Operation Space
16 июля, вторник, 00:00
|
Hot News:

Уязвимость Internet Explorer грозит потерей файлов

15 апреля 2019 г., понедельник, 13:14

Уязвимость в браузере позволяет обойти защиту программы и похитить локальные данные пользователей Windows.

Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч.

Проблема связана с тем, как Internet Explorer обрабатывает файлы формата MHT (MHTML Web Archive), в котором IE 11 сохраняет веб-страницы. Большинство современных браузеров используют для этой цели формат HTML, но при этом также поддерживают совместимость с MHT.

Чтобы запустить атаку, пользователю достаточно открыть вредоносный MHT-файл. Обычно подобные уязвимости требуют каких-то дополнительных действий со стороны жертвы (например, команду на печать веб-страницы), но, как пишет Пейдж, для этого «достаточно простого вызова JavaScript-функции window.print()».

Windows автоматически открывает MHT-файлы через Internet Explorer вне зависимости от того, является ли он браузером по умолчанию, — таким образом, в зоне риска находятся все пользователи, у которых установлен этот браузер.

Более того, эксплойт может обойти систему безопасности Internet Explorer: вредоносный MHT-файл не попросит разрешения на запуск заблокированного содержимого и откроется в любом случае.

Исследователь утверждает, что созданный им PoC-код сработал в Internet Explorer 11 с последними обновлениями безопасности на операционных системах Windows 7, Windows 10 и Windows Server 2012 R2. Пейдж также поделился видео с записью тестовой атаки:

В ответ на предупреждение исследователя представители Microsoft заявили, что выпуск экстренного обновления не планируется, но брешь, возможно, залатают в следующих версиях Internet Explorer.

В начале апреля эксперты обнаружили уязвимости в IE и Edge, позволяющие украсть конфиденциальные данные пользователей. На момент публикации патчи к ней не выпустили.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:46
11:15
09:15
08:15
08:15
07:15
06:15
06:15
05:28
16:31
16:02
15:39
15:15
14:27
13:15
13:15
10:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.277
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.