Săptămâna trecută, angajatul Google Project Zero, Tavis Ormandy, a criticat deja grav browserul protejat Chromodo, pe care Comodo îl livrează împreună cu produsele sale antivirus. Acum este rândul său, a browser-ului Avast SafeZone, cunoscut și ca Avastium.
Se pare că Ormandy a decis să analizeze serios securitatea browserelor. După cum arată rezultatele cercetărilor sale: nu în zadar. Furcul de crom din proprii, creat de Avast, a fost și mai rău. decât Chromodo, a deconectat politica de origine identică.
Și încă un alt caz de frământare a Chromium pentru "securitate" din cauza experientei virușilor. Serios, o să-i înșeli.
Pentru a continua atacul, atacatorul nu are nevoie nici măcar de un program malware suplimentar: browserul Avast stochează toate datele în formă clară, deci principalul lucru este să știe că victima a instalat Avastium.
"Deși atacul este făcut pe Avastium, victima nu trebuie să o folosească, nici în momentul atacului, nici în general. Faptul este că profilul dvs. este importat automat din Chrome, chiar și atunci când instalați Avastium ", scrie Ormandy.
Expertul explică faptul că, de fapt, un atacator poate accesa sistemul de fișiere al victimei dacă victima simte doar clic pe un link rău intenționat. Nici măcar nu trebuie să cunoașteți locația exactă a anumitor fișiere, deoarece, cu acest atac, puteți obține și o listă de fișiere de directoare.
Ca o dovadă evidentă a scurgerii lui Avastium, Ormandy a creat o pagină de probă a conceptului. unde puteți verifica browserul pentru vulnerabilitate.
Inițiativa lui Ormandy a fost inspirată de un alt cercetător care a decis, de asemenea, să verifice securitatea browserelor. A început cu un browser încorporat în clientul oficial Steam. Aceasta este o altă furculiță de la Chromium, ale cărei probleme nu au fost găsite la fel de bine decât colegii săi "protejați" de pe piață.
În plus, ekaris a descoperit. că browserul Steam funcționează cu o nisip cu handicap. În mod prestabilit, această măsură de protecție a utilizatorilor în Chromium este activată, însă dezvoltatorii de Valve, din anumite motive, l-au oprit.
Deși ekaris a raportat deja despre problemele legate de Valve, patch-ul nu este încă disponibil, deci utilizatorii de Steam sunt recomandați să utilizeze browserul client încorporat cu precauție dublă.
Distribuiți știrile prietenilor dvs.:
Mai mult de 500 de site-uri frauduloase oferă să cumpere iPhone X
Mai multe bug-uri au fost detectate în noul iOS 11.1 în timpul competiției Pwn2Own
Prin intermediul motorului de căutare Google, folosind "negru" SEO, banca Zeus Panda este distribuită
Soferii Savitech vin cu certificate de root
Arestat hacker, a spus hacking-ul unui angajat al companiei FireEye
Trimiteți-le prietenilor: