Owen Little
0 
1922
41
U isto vrijeme kad je Microsoft predstavio Windows 10 Neka danas bude vaš dan pokretanja: Nabavite Windows 10 odmah! Učinite danas svoj dan pokretanja: nabavite Windows 10 odmah! Želite instalirati Windows 10. Nažalost, propustili ste Insider Preview i sada će proći neko vrijeme dok vam nadogradnja ne bude uvedena. Evo kako sada nabaviti Windows 10! , pokrenula je i novi preglednik - Microsoft Edge. Nakon svih pitanja sigurnosti i privatnosti oko Internet Explorera, ovo bi trebao biti novi početak, čista ploča.
Edge je zasigurno predstavio nevjerojatne nove značajke 10 razloga zbog kojih biste trebali koristiti Microsoft Edge sada 10 razloga zbog kojih biste trebali koristiti Microsoft Edge sada Microsoft Edge označava potpunu odmak od naziva robne marke Internet Explorer, čime je ubijeno 20-godišnje obiteljsko stablo u postupak. Evo zašto biste ga trebali koristiti. , Web stranice koje se mogu primijetiti, lista za čitanje i elegantan dizajn daju velik napredak u usporedbi s prethodnikom..
Jao, novi je preglednik također uveo nove probleme. Posljednje izdanje koje treba privući medijsku pažnju jest njegovo iskorištavanje u PDF-u.
Ali što je to? Jeste li sigurni? I je li Edge jedinstven s tim vrstama problema? Idemo istražiti.
Što je?
Iskorištavanje se vrti oko Windows Runtime PDF Renderer biblioteke (WinRT PDF). Glavna svrha softvera je omogućiti programerima da lako integriraju značajku pregledavanja PDF-a u svoje programe.
To znači da je prisutan u mnogim Windows aplikacijama (aplikacije preuzete iz Windows Store-a) i ugrađenom softveru Windows 10 Kako onemogućiti preglednik Microsoft Edge u sustavu Windows 10 Kako onemogućiti preglednik Microsoft Edge u sustavu Windows 10 Edge Browser ne mogu se ukloniti ili deinstalirati. No, postoji alat koji ga možete onemogućiti tako da se više nikada ne pokrene. , Sve se koristi od OneNote-a do tuđih PDF čitača. Edge ga koristi kao svoj zadani PDF čitač, pa će se PDF-ovi ugrađeni u web stranicu automatski otvoriti u knjižnici.
IBM istraživač Mark Vincent Yason izvorno je otkrio nedostatak. Otkrio je da se WinRT PDF može koristiti u napadačkim napadima stavljanjem zlonamjernog koda u skriveni okvir u PDF dokumentu. Vrlo je slično načinu na koji su Java i Flash iskorištavani. Ovo je kako vas hakiraju: Mračni svijet eksploatacijskih setova Ovo je kako vas hakiraju: Mračni svijet eksploatacijskih setova Prevarači mogu koristiti softverske pakete za iskorištavanje ranjivosti i stvaranje zlonamjernog softvera. Ali što su ovi kompleti za eksploataciju? Odakle dolaze? I kako ih se može zaustaviti? u prošlosti.
Kako radi?
Problemi nastaju kao rezultat Edgeove WinRT PDF datoteke.
Teoretski, haker može sadržavati WinRT PDF eksploataciju u PDF datoteci, koja bi se mogla potajno otvoriti pomoću iframe-a koji je CSS pozicionirao izvan zaslona. Sve što bi potencijalni napadači trebali učiniti je pronaći i stvoriti bazu podataka WinRT ranjivosti koja se može iskoristiti za distribuciju njihovog zlonamjernog softvera.
WinRT PDF eksploatacija u konačnici bi se izvodila na isti način na koji eksploatacijski setovi kao što su Angler ili Neutrino koriste prednosti Flash, Java i Silverlight ranjivosti.
Jednom kada se eksploatacija izvrši, vaše će računalo biti izloženo svim vrstama sigurnosnih prijetnji; osobne podatke postaje lako ukrasti 3 osobe koje najvjerovatnije mogu hakirati vaše podatke i privatnost , a virusi i zlonamjerni softver mogu se ubrizgati na vaš stroj po ćudljivosti hakera.
Postoje li zaštitne mjere i riskirate li?
Unatoč groznim upozorenjima, vjerojatno niste u opasnosti - ipak. U vrijeme pisanja teksta divljine nisu pronađeni WinRT PDF iskorištavanja.
“WinRT PDF otvara dodatnu površinu napada koja se može iskoristiti za napad na preglednik Edge. Ali za sada je iskorištavanje WinRT PDF-a putem Edgea skupo zbog postojećih kombiniranih ublažavanja ublažavanja. Zanimanje za WinRT PDF i razvoj novih tehnika eksploatacije odredit će kada će Edge drive-by exploit iskoristiti WinRT PDF ranjivost biti vidljiv u divljini..” - Mark Vincent Yason
Windows 10 koristi prijašnji “Poboljšani alat za smanjenje ublažavanja” (EMET) značajke poput “Randomizacija izgleda adresnog prostora” (ASLR) zaštita i kontrola protoka protoka.
Ovi alati pomažu u sprečavanju iskorištavanja ranjivosti u softveru. To čine uvođenjem posebne zaštite i prepreka koje haker mora prevladati ako želi dobiti pristup sigurnosnim propustima.
Ove zaštite čine iskorištavanje ranjivosti čitača PDF WinRT dugotrajnu i skupu aferu, i vjerojatno je to što još moramo vidjeti u divljini..
Ukratko - ne paničite, ali budite oprezni.
Što je s ostalim preglednicima?
Može li vas jednostavno izbjegavanje Edgea čuvati? Pa, da i ne.
Firefoxov interni čitač PDF-a slovi kao najčuvaniji; napisan je u cijelosti na JavaScript-u i koristi API-je i funkcionalnosti koji se već koriste drugdje na mreži. Rezultat toga je upotreba Firefoxa za otvaranje PDF datoteka nije manje sigurna od redovitog svakodnevnog pretraživanja interneta.
Ali čak ni to nije učinilo Firefox stopostotno sigurnošću. U kolovozu 2015. otkriven je eksploatacija Update Firefox Now! Ili sigurnosni propust može ukrasti vaše lokalne datoteke Ažurirajte Firefox sada! Ili sigurnosni propust može ukrasti vaše lokalne datoteke. Trebate aktivirati Firefox i odmah preuzeti najnoviju verziju. Mozilla je izdala kritičko ažuriranje koje popravlja veliki sigurnosni propust, što bi moglo omogućiti hakerima da ukradu datoteke s vašeg tvrdog diska. na ruskom web mjestu s vijestima koje su na lokalnom računalu pretraživale osjetljive datoteke i slale ih na poslužitelj u Ukrajini. U radu je ubrizgavanjem korisničkog opterećenja JavaScript u kontekst lokalne datoteke.
Firefox je prirodno odmah reagirao sigurnosnim zakrpama - ali priča dokazuje da niti jedan preglednik nikada neće biti u potpunosti siguran od bilo koje prijetnje.
Chrome je manje siguran. Poput Edge-a, PDF čitač implementiran je kao binarni model. Potom se nalazi na pijesku izvan drugih dijelova operativnog sustava - ali taj sandbox ostaje glavna linija obrane.
Trebamo li dati malo slobode?
U svemu tome, važno je zapamtiti da je Edge još uvijek manje od godinu dana Microsoft dobiva ivicu, uređaje od milijardu milijardi sa sustavom Windows 10 i još više ... [Tech News Digest] Microsoft dobiva Edge, 1 milijardu uređaja sa sustavom Windows 10 , I još ... [Tech News Digest] Microsoft ima Edge, Windows 10 je ogroman, Secret se zatvara, ugrađujete MS-DOS igre u tweete, zarađujete na Silent Hillsu i gledajte kako Michael Bay prikazuje amaterskog filmaša. , Budućnost ima puno obećavajućih znakova, ali trenutno je to nedovršeni proizvod.
Nemojmo biti previše naporni Edgeu. Je li Chrome bio savršen po njegovom početnom izdanju još 2008. godine? Što je s Firefoxom 2002. godine?
Kada je Chrome prvi put postao dostupan, nije postojala podrška za točkove miša ili oznake. Tek u verziji 4 (dvije godine nakon početnog izdanja) vidjeli smo uvođenje proširenja. Također je bilo potrebno dvije godine da prođe Acid3 test - način provjere usklađenosti preglednika s web standardima kao što su Document Object Model (DOM) i JavaScript. Firefox to još uvijek ne može prenijeti.
Edge bi bili razapeti da nije podržao oznake ili kotačić miša pomiče se po općem izdanju.
Rad u tijeku ...
Moderne računalne aplikacije nikada nisu istinski “gotov”. Riječ je o radovima koji su u stalnom ciklusu ažuriranja i poboljšanja.
Edge je samo devet mjeseci u svom životu. Dok će ljudi koji rade protiv Edge / Microsofta zasigurno upotrijebiti ovaj eksploziv kao još jedan štap kojim će pretraživati preglednik, ostaje istina da u mnogim aspektima izgleda vrlo obećavajuće.
Ako se produžeci nastanu nakon ove godine kako se i očekivalo, moći će se natjecati s najboljima u poslu.
Kakvo je vaše mišljenje o Edgeu i vijestima o iskorištavanju? Jeste li netko tko misli da je Edge osuđen na neuspjeh ili bismo ga mogli vidjeti u budućnosti na tržištu? Javite nam se u komentarima.