• Вы находитесь тут:
  • Bad Android
  • Новости
  • Уязвимость в Internet Explorer позволяет похищать данные с Windows

Уязвимость в Internet Explorer позволяет похищать данные с Windows

Исследователь безопасности Джон Пейдж (John Page) опубликовал информацию об обнаруженной уязвимости XXE (XML eXternal Entity) в браузере Internet Explorer, которая может позволить хакерам воровать файлы из Windows.

осел

Эта возможность может быть использована, когда пользователь открывает файл MHT. Уязвимость заключается в том, что браузер обрабатывает файлы MHT (MHTML Web Archive). Они являются стандартом по умолчанию, в котором все версии браузера сохраняют веб-страницы, когда пользователь выполняет команду «Сохранить страницу» — CTRL + S. Современные браузеры больше не хранят веб-страницы в формате MHT и используют стандартный формат HTML. Но большинство браузеров все еще поддерживают обработку этого формата.

Поскольку в Windows все файлы MHT автоматически открываются по умолчанию в Internet Explorer, использование этой «уязвимости» является вполне обычным. Пользователям необходимо всего лишь дважды кликнуть по файлу, который получен по электронной почте или любым другим способом. По словам Пейджа, уязвимый код зависит от того, как браузер обрабатывает пользовательские команды CTRL + K (двойная вкладка), «Предварительный просмотр» или «Печать». Обычно, это требует некоторого взаимодействия с пользователем, но отмечается, что это может быть автоматизировано.

Как правило, при создании экземпляров объектов ActiveX, таких как «Microsoft.XMLHTTP», пользователи получат предупреждение системы безопасности в браузере и получат приглашение активировать заблокированный контент. Однако, при открытии специально созданного файла .MHT с использованием вредных тегов разметки <xml>, пользователь не получит такого уведомления.

По словам Пейджа, он успешно протестировал уязвимость в последнем браузере Internet Explorer 11 со всеми самыми свежими обновлениями безопасности в версиях Windows 7, Windows 10 и Windows Server 2012 R2. Пейдж сказал, что 27 марта сообщил Microsoft о новой уязвимости, но компания отказалась рассматривать ошибку для исправления безопасности.

Обзор ASUS Zenbook 15 - новый стандарт ноутбуков на Windows в 2018 году?

0

Комментарии


Чтобы оставить комментарий, пожалуйста, авторизируйтесь!
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Уязвимость в Internet Explorer позволяет похищать данные с Windows
  • Вы находитесь тут:
  • Bad Android
  • Новости
  • Уязвимость в Internet Explorer позволяет похищать данные с Windows