|
|
|
Популярное за неделю:
Популярные браузеры позволяют хакерам красть логины и почтовые адреса пользователей
Браузеры Internet Explorer, Firefox, Chrome и Safari уязвимы к атакам, позволяющим администраторам собирать персональную информацию о посетителях веб-сайтов, включая их полные имена, адреса электронной почты, данные о местонахождении и даже сохраненные пароли. Об этом заявил авторитетный эксперт по компьютерной безопасности Джеремия Гроссман.

На следующей неделе в ходе выступления на конференции Black Hat в Лас-Вегасе исследователь планирует подробно рассказать о критических уязвимостях, которые по умолчанию активны в четырех самых популярных браузерах на рынке. По его словам, эти недоработки до сих пор не устранены разработчиками несмотря на то, что о многих из них известно уже месяцы, а то и годы.

Среди самых серьезных брешей – баг в Apple Safari и ранних версиях Internet Explorer, позволяющий получить имя, адрес электронной почты и другие данные пользователя, заманив его на подставной сайт. Сценарий атаки предусматривает эксплуатацию функции автозаполнения и срабатывает путем создании страницы с такими полями, как “Имя”, “Фамилия”, “Адрес электронной почты” и “Номер кредитной карты”. После того, как страница создана, к ней добавляется JavaScript, симулирующий пользователя, вводящего в эти поля различные символы.

Люди, в прошлом пользовавшиеся функцией автозаполнения в IE 6 и 7, а также в Safari 4 и 5, после перехода на такую вредоносную страницу автоматически передадут ее создателям подобную информацию, причем никакого участия с их стороны, кроме собственно посещения сайта, не требуется.

Помимо этого, Гроссман выявил незакрытые бреши в Mozilla Firefox и Google Chrome, помогающие выкрасть сохраненные в браузере пароли с помощью функции, позволяющей автоматически вводить имя пользователя и пароль при посещении таких сайтов, как Gmail или Facebook. Для того, чтобы выкрасть пароли, хакерам нужно встроить в свою страницу вредоносный код, а на сайте, для которого сохранен пароль, должна присутствовать уязвимость к межсайтовому скриптингу, что встречается довольно часто. Также Джеремия Гроссман планирует показать код эксплоита, позволяющего веб-мастеру тайно стереть все cookie из браузера жертвы. Разработанный им скрипт устанавливает тысячи cookie в веб-обозреватель при посещении страницы и при превышении их лимита перезаписывает старые cookie. Время завершения этой работы – порядка 2,5 секунд.

      
  

Xakep


Опубликовано: 08:40 - 21.07.2010
Комментарии









Реклама


Календарь
декабрь 2024
  Пн Вт Ср Чт Пт Сб Вс  
              1  
  2 3 4 5 6 7 8  
  9 10 11 12 13 14 15  
  16 17 18 19 20 21 22  
  23 24 25 26 27 28 29  
  30 31            
Голосование
У вас есть блог?
13.7%
Активный блогер
20.1%
Что это такое?
12.9%
Слежу за другими
12.2%
Участвую в обсуждениях
6.5%
Пишу иногда
34.5%
Нет времени на ерунду
Голосовать Всего голосов (139)
© 2007-2015