Головна » Технології / Новини ІТ » Уразливість в Internet Explorer дозволяє викрадати дані з Windows

Дослідник безпеки Джон Пейдж (John Page) опублікував інформацію щодо виявленої уразливості XXE (XML eXternal Entity) в браузері Internet Explorer, яка може дозволити хакерам красти файли з Windows. Ця можливість може бути використана, коли користувач відкриває файл MHT. Уразливість полягає у тому, що браузер обробляє файли MHT (MHTML Web Archive). Вони є стандартом за замовчуванням, в якому всі версії браузера зберігають веб-сторінки, коли користувач виконує команду «Зберегти сторінку» – CTRL + S. Сучасні браузери більше не зберігають веб-сторінки у форматі MHT і використовують стандартний формат HTML. Але більшість браузерів все ще підтримують обробку цього формату.




Уразливість в Internet Explorer дозволяє викрадати дані з Windows

Оскільки у Windows всі файли MHT автоматично відкриваються за замовчуванням в Internet Explorer, використання цієї «уразливості» є цілком звичайним. Користувачам необхідно всього лиш двічі клікнути по файлу, який отримано електронною поштою чи будь-яким іншим способом. За словами Пейджа, уразливий код залежить від того, як браузер обробляє користувацькі команди CTRL + K (подвійна вкладка), «Попередній перегляд» або «Друк». Зазвичай, це потребує деякої взаємодії з користувачем, але зазначається, що це може бути автоматизовано.

Як правило, при створенні екземплярів об’єктів ActiveX, таких як «Microsoft.XMLHTTP», користувачі отримають попередження системи безпеки в браузері і отримають запрошення активувати заблокований контент. Однак, при відкритті спеціально створеного файлу .MHT з використанням шкідливих тегів розмітки <xml>, користувач не отримає такого попередження.

За словами Пейджа, він успішно протестував уразливість в останньому браузері Internet Explorer 11 з усіма найсвіжішими оновленнями безпеки у версіях Windows 7, Windows 10 і Windows Server 2012 R2. Пейдж сказав, що 27 березня повідомив Microsoft про нову уразливість, але компанія відмовилась розглядати помилку для термінового виправлення безпеки.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Акції

Великі знижки до Дня батька у 2021 році: до -55%

День батька – це особливе свято, яке відзначає цінність і важливу роль батька у житті кожного з нас. Щоб відсвяткувати цей день, багато магазинів і вебсайтів підготують спеціальні пропозиції. З цієї нагоди, компанія Keysoff пропонує вигідні знижки для придбання операційних систем, пакетів Office та іншого корисного програмного забезпечення Microsoft. Інтернет-магазин надає можливості для забезпечення продуктивності і гнучкості […]


Новини ІТ

Microsoft випустила важливе виправлення для критичних проблем Windows 10

Microsoft поступово розгортає травневе оновлення Windows 10 (версія 21H1) для користувачів по всьому світу. Але нещодавно було виявлено кілька проблем, і Microsoft вже запропонувала обхідний шлях. Також, нещодавно стало відомо, чому Microsoft вимкнула звук під час запуску Windows. Підписуйтесь на наш Telegram-канал Оновлення Windows 10 версії 21H1 (Windows 10 May 2021 Update) – це незначний […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: