Вход
Имя пользователя:
Пароль:
Запомнить меня

Зарегистрируйтесь, чтобы получить доступ к форуму, чату, комментированию статей и написанию собственных статей. Для регистрировавшихся на форуме ранее сейчас регистрироваться не надо.
Регистрироваться!!!

Забыл пароль?
Сервер World Of Warcraft
Имя пользователя:
Пароль:
Повторите пароль:
E-mail:
Сейчас на сайте:
Всего: 303
0 юзеров | 303 гостей

Рекорд: 396 на February 25, 2009 в 09:19 AM.
Последние посты
Баги с квестамиvelasces
Патчvelasces
Баги другого родаKimo
какую музыку слушают
игроки на форсемите?
velasces
Поднимем онлайн!Dvorf
Ульдуар.Kimo
ПЕРЕНОС ЧАРОВ С
ДРУГОГО СЕРВЕРА.
Dvorf
РЕЙТЫ НА ПРОФЫsanekXXL
ОПРОС:Наши Рейты!TABURETNIK
ОПРОС:Что оставить и
что убрать?
StyX
юмор wowsanekXXL
Баги с персонажами и
аккаунтами
Psycho
С Днем Системного
Администратора!
Aбвгдe
ASCII GeneratorVan
Баны игроковNighter
Sponsor links:
[Soft & Game]Electrify America и Stable Auto начнут установку роботизированных устройств быстрой зарядки электромобилей
[Soft & Game]Опубликован отчет Panasonic за квартал, завершившийся 30 июня 2019 года
[Soft & Game]Стать как Цукерберг. Роскачество посоветовало заклеить микрофон и камеру ноутбука
[Soft & Game]Очередное приобретение Ford должно ускорить разработку самоуправляемых автомобилей
[Soft & Game]Дешевле ожидаемого. Раскрыты европейские цены на Samsung Galaxy Note10 и Note10+
[Soft & Game]Европейские пользователи Android смогут выбирать поисковую систему по умолчанию
[Soft & Game]В погоне за 64 Мп: следом за Realmi и Redmi отправится Samsung
[Soft & Game]Xiaomi представила умные часы с функцией телефона Mi 3c Mi Bunny Children Phone
[Soft & Game]Опубликовано изображение переходника для подключения к смартфону Samsung Galaxy Note10+ наушников с разъемом диаметром 3,5 мм
[Soft & Game]У ZTE почти готов собственный семинанометровый модем 5G для смартфонов
[Soft & Game]Подражая AMD, Intel начнет выпуск графических карт с модели стоимостью 200 долларов
[Soft & Game]Apple приостанавливает прослушивание запросов к Siri
[Soft & Game]Tesla Megapack — новейшая батарея мощностью 1,5 МВт для создания огромных хранилищ энергии
[Soft & Game]Intel начнет выпуск графических карт с модели стоимостью 200 долларов
[Soft & Game]Как не заблудиться в торговом центре. «Яндекс.Карты» научились показывать поэтажные схемы зданий
[Soft & Game]Вероятно, первый смартфон с 64-мегапиксельной камерой представят уже 8 августа
[Soft & Game]Европейские смартфоны HTC U11 обновляют до Android 9 Pie
[Soft & Game]Европейские смартфоны HTC U11 обновили до Android 9 Pie
[Soft & Game]Смартфону Samsung Galaxy A51 приписывают совершенно новую платформу
[Soft & Game]Монополия Phison закончилась. У Marvell тоже готовы контроллеры SSD с поддержкой PCIe Gen4 NVMe
По теме:
Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows
От ixbt
Опубликовано: April 14, 2019

Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользоваться, когда пользователь открывает файл в формате MHT. Исследователь привел пример кода, демонстрирующий уязвимое место.

Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows

Напомним, MHT (MHTML Web Archive) — формата, в котором все браузеры IE по умолчанию сохраняют веб-страницы, например, когда пользователь нажимает сочетание клавиш CTRL+S. Современные браузеры уже не сохраняют веб-страницы в формате MHT и используют стандартный формат файла HTML, однако многие браузеры еще поддерживают формат MHT.

Поскольку в Windows все файлы MHT автоматически открываются по умолчанию в Internet Explorer, использование этой уязвимости является тривиальным. Пользователю достаточно всего лишь дважды щелкнуть по файлу, полученному по электронной почте или другим способом.

По словам Пейджа, код, использующий уязвимость, полагается на обработку программой Internet Explorer пользовательских команд CTRL+K (дублировать вкладку), «Предварительный просмотр» или «Печать». Обычно обработка требует некоторого взаимодействия с пользователем, но оно может быть автоматизировано и не является обязательным для доступа к уязвимости.

«Может сработать простой вызов Javascript-функции window.print (), не требующий взаимодействия пользователя с веб-страницей», — приводит источник слова Пейджа.

При этом средствами разметки <xml> вредоносный код может подавить выдачу системой безопасности Internet Explorer предупреждения, обычно сопровождающего создание экземпляров объектов ActiveX, таких как «Microsoft.XMLHTTP».

По словам Пейджа, он успешно протестировал уязвимость в новейшем браузере Internet Explorer v11 со всеми последними обновлениями безопасности в системах Windows 7, Windows 10 и Windows Server 2012 R2.

Пейдж сказал, что 27 марта уведомил Microsoft об уязвимости, но разработчик ОС и браузера отказался рассматривать возможность включения уязвимости в список для срочного устранения. В ответе Microsoft сказано, что вопрос исправления «будет рассмотрен в будущей версии», а пока «дело закрыто». После этого исследователь опубликовал подробности об уязвимости на своем сайте.

[Читать далее...] Показать Каменты (0)