Содержание
В то же время, как Microsoft представила Windows 10
Также был запущен новый браузер — Microsoft Edge. После всех проблем безопасности и конфиденциальности, связанных с Internet Explorer, это должен был быть новый старт, с чистого листа.
Edge, безусловно, представил несколько удивительных новых функций
, Аннотируемые веб-страницы, список чтения и стильный дизайн — все это делает огромный шаг вперед по сравнению с предшественником.
Увы, в новом браузере также появились новые проблемы. Последней проблемой, привлекающей внимание средств массовой информации, является ее эксплойт в PDF
Но что это? Ты в безопасности? И Edge уникален с этими типами проблем? Давайте исследуем.
Что это?
Эксплойт вращается вокруг библиотеки Windows Runtime PDF Renderer (WinRT PDF). Основная цель программного обеспечения — позволить разработчикам легко интегрировать функцию просмотра PDF в свои программы.
Это означает, что он присутствует во многих приложениях Windows (приложениях, загруженных из Магазина Windows) и встроенном программном обеспечении Windows 10
, Все, начиная от OneNote и заканчивая сторонними программами для чтения PDF-файлов, использует его. Edge использует его как средство чтения PDF по умолчанию, поэтому PDF-файлы, встроенные в веб-страницу, будут автоматически открываться в библиотеке.
Исследователь IBM Марк Винсент Ясон первоначально обнаружил этот недостаток. Он обнаружил, что WinRT PDF можно использовать для атак с помощью вождения, поместив вредоносный код в скрытый фрейм в документе PDF. Это очень похоже на использование Java и Flash
в прошлом.
Как это работает?
Проблемы возникают в результате использования Edge WinRT PDF.
Теоретически, хакер может содержать эксплойт WinRT PDF в PDF-файле, который может быть тайно открыт с помощью iframe, расположенного за кадром с помощью CSS. Все, что нужно сделать злоумышленникам, — это найти и создать базу данных уязвимостей WinRT, которую можно использовать для распространения своих вредоносных программ.
Эксплойт WinRT PDF в конечном итоге будет выполнен таким же образом, что и наборы эксплойтов, такие как Angler или Neutrino, использующие преимущества уязвимостей Flash, Java и Silverlight.
После того, как эксплойт был выполнен, ваш компьютер подвергнется всевозможным угрозам безопасности; личные данные легко украсть
и вирусы и вредоносные программы могут быть введены на ваш компьютер по желанию хакера.
Существуют ли меры предосторожности и вы рискуете?
Несмотря на страшные предупреждения, вы, вероятно, не находитесь в опасности — пока. На момент написания этой статьи не было обнаружено никаких эксплойтов WinRT PDF.
«WinRT PDF открывает дополнительную поверхность для атаки, которую можно использовать для атаки на браузер Edge. Но на данный момент использование WinRT PDF через Edge стоит дорого из-за комбинированного снижения уязвимости. Интерес к WinRT PDF и разработка новых методов эксплуатации определят, когда эксплойт Edge drive-by, использующий уязвимость WinRT PDF, будет виден в дикой природе ».
на российском новостном сайте, который искал конфиденциальные файлы на локальном компьютере и загружал их на сервер в Украине. Работает, внедряя полезную нагрузку JavaScript в локальный файловый контекст.
Firefox, естественно, немедленно отреагировал исправлениями безопасности, но история доказывает, что ни один браузер никогда не будет полностью защищен от какой-либо угрозы.
Chrome менее безопасен. Как и Edge, программа для чтения PDF реализована в виде бинарной модели. Затем он оказывается изолированным от других частей операционной системы, но эта песочница остается главной линией защиты.
Должны ли мы дать край некоторую свободу?
При этом важно помнить, что Edge еще меньше года
, Есть много обнадеживающих признаков на будущее, но в настоящее время это незаконченный продукт.
Давайте не будем слишком строги к Эджу. Был ли Chrome идеальным после его первоначального выпуска в 2008 году? Как насчет Firefox в 2002 году?
Когда впервые появился Chrome, не было поддержки колесиков мыши или закладок. Только в четвертой версии (через два года после ее первоначального выпуска) мы увидели введение расширений. Также прошло два года, чтобы пройти тест Acid3 — способ проверки соответствия браузера веб-стандартам, таким как объектная модель документа (DOM) и JavaScript. Firefox по-прежнему не может пройти мимо.
Edge был бы распят, если бы он не поддерживал закладки или прокрутку колесика мыши при общем выпуске.
Работа в процессе …
Современные компьютерные приложения никогда не бывают «законченными». Они находятся в стадии разработки и постоянно обновляются.
Край только девять месяцев в его жизни. В то время как анти-Edge / анти-Microsoft люди наверняка будут использовать этот эксплойт в качестве еще одной фишки, с помощью которой можно взломать браузер, правда остается той, что во многих отношениях это выглядит очень многообещающе.
Если в конце этого года, как и ожидалось, продления продолжатся, он сможет конкурировать с лучшими в своем деле.
Что ты думаешь об Edge и новостях об эксплойтах? Вы тот, кто думает, что Edge обречен на провал, или мы увидим, что он станет лидером рынка в будущем? Дайте нам знать об этом в комментариях.
![Краска сумо максимально приближена к Photoshop в вашем браузере [Chrome]](https://helpexe.ru/wp-content/cache/thumb/27/1526a5c01d40a27_150x95.png)