Головна » Технології / Новини ІТ » Уразливість в Internet Explorer дозволяє викрадати дані з Windows

Дослідник безпеки Джон Пейдж (John Page) опублікував інформацію щодо виявленої уразливості XXE (XML eXternal Entity) в браузері Internet Explorer, яка може дозволити хакерам красти файли з Windows. Ця можливість може бути використана, коли користувач відкриває файл MHT. Уразливість полягає у тому, що браузер обробляє файли MHT (MHTML Web Archive). Вони є стандартом за замовчуванням, в якому всі версії браузера зберігають веб-сторінки, коли користувач виконує команду «Зберегти сторінку» – CTRL + S. Сучасні браузери більше не зберігають веб-сторінки у форматі MHT і використовують стандартний формат HTML. Але більшість браузерів все ще підтримують обробку цього формату.




Уразливість в Internet Explorer дозволяє викрадати дані з Windows

Оскільки у Windows всі файли MHT автоматично відкриваються за замовчуванням в Internet Explorer, використання цієї «уразливості» є цілком звичайним. Користувачам необхідно всього лиш двічі клікнути по файлу, який отримано електронною поштою чи будь-яким іншим способом. За словами Пейджа, уразливий код залежить від того, як браузер обробляє користувацькі команди CTRL + K (подвійна вкладка), «Попередній перегляд» або «Друк». Зазвичай, це потребує деякої взаємодії з користувачем, але зазначається, що це може бути автоматизовано.

Як правило, при створенні екземплярів об’єктів ActiveX, таких як «Microsoft.XMLHTTP», користувачі отримають попередження системи безпеки в браузері і отримають запрошення активувати заблокований контент. Однак, при відкритті спеціально створеного файлу .MHT з використанням шкідливих тегів розмітки <xml>, користувач не отримає такого попередження.

За словами Пейджа, він успішно протестував уразливість в останньому браузері Internet Explorer 11 з усіма найсвіжішими оновленнями безпеки у версіях Windows 7, Windows 10 і Windows Server 2012 R2. Пейдж сказав, що 27 березня повідомив Microsoft про нову уразливість, але компанія відмовилась розглядати помилку для термінового виправлення безпеки.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини ІТ

В Microsoft Edge запустили три нові функції

Компанія Microsoft оголосила про три нові функції, які з’являться в браузері Microsoft Edge вже цього місяця. Нагадаємо, що вже наступного тижні, а саме 9 березня, припиняється підтримка старої версії Edge. В оновленні, яке вийде 13 квітня, його взагалі видалять з Windows 10. Підписуйтесь на наш Telegram-канал Нові функції в браузері Microsoft Edge Прискорення запуску – […]


Новини ІТ

WhatsApp для ПК отримав довгоочікувану функцію

Приватні голосові та відеодзвінки тепер доступні і в настільному додатку WhatsApp для Windows і Mac. Месенджер, що належить Facebook, пропонував цю функцію тільки в своєму мобільному застосунку. Але наприкінці 2020 року почали тестувати і для деяких користувачів ПК. Вибрані тестери бачили значки викликів і відеочатів, помічені як «Бета», в заголовку чату. Тепер ця функція офіційно […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: