Michael Cain
0 
1440
205
På samme tid som Microsoft introducerede Windows 10 Make Today Your Launch Day: Få Windows 10 nu! Gør i dag til din lanceringsdag: Hent Windows 10 nu! Du er ivrig efter at installere Windows 10. Desværre har du gået glip af Insider Preview, og det tager nu et stykke tid, indtil opgraderingen bliver rullet ud til dig. Sådan får du Windows 10 nu! , lancerede den også en ny browser - Microsoft Edge. Efter alle sikkerheds- og privatlivsproblemerne omkring Internet Explorer skulle dette være en frisk start, en ren skifer.
Edge har bestemt introduceret nogle fantastiske nye funktioner 10 grunde til at du skal bruge Microsoft Edge nu 10 grunde til at du skal bruge Microsoft Edge nu Microsoft Edge markerer en komplet pause fra Internet Explorer-mærkenavnet og dræber et 20-årigt slægtstræ i processen. Her er hvorfor du skal bruge det. . De annotable websider, læselisten og det slanke design markerer alle store fremad i sammenligning med sin forgænger.
Desværre har den nye browser også introduceret nye problemer. Det seneste nummer, der får medieopmerksomhed, er dens PDF-udnyttelse.
Men hvad er det? Er du sikker? Og er Edge unik med disse typer problemer? Lad os undersøge.
Hvad er det?
Udnyttelsen drejer sig om Windows Runtime PDF Renderer-bibliotek (WinRT PDF). Hovedformålet med softwaren er at give udviklere let mulighed for at integrere en PDF-visningsfunktion i deres programmer.
Det betyder, at den er til stede i en masse Windows Apps (apps, der er hentet fra Windows Store) og bagt-i Windows 10-software Sådan deaktiveres Microsoft Edge-browseren i Windows 10 Sådan deaktiveres Microsoft Edge-browseren i Windows 10 Windows 10's Edge-browser kan ikke fjernes eller afinstalleres. Der er dog et værktøj, du kan bruge til at deaktivere det, så det aldrig lanceres igen. . Alt fra OneNote til tredjeparts PDF-læsere bruger det. Edge bruger den som sin standard PDF-læser, så PDF-filer, der er integreret på en webside, åbnes automatisk i biblioteket.
IBM-forsker Mark Vincent Yason opdagede oprindeligt fejlen. Han fandt ud af, at WinRT PDF kan bruges i drive-by-angreb ved at placere ondsindet kode i en skjult ramme i et PDF-dokument. Det ligner meget hvordan Java og Flash blev udnyttet. Sådan hacker du dig: Den skumle verden med udnyttelsessæt Sådan hacker du dig: Den skumle verden med udnyttelsessæt Svindlere kan bruge softwarepakker til at udnytte sårbarheder og oprette malware. Men hvad er disse udnyttelsessæt? Hvor kommer de fra? Og hvordan kan de stoppes? i fortiden.
Hvordan virker det?
Problemerne opstår som et resultat af Edges brug af WinRT PDF.
Teoretisk set kunne en hacker indeholde en WinRT PDF-udnyttelse i en PDF-fil, som kunne hemmeligt åbnes ved hjælp af en iframe, der er placeret off-screen af CSS. Alt, hvad angribere er, skal være at finde og oprette en database med WinRT-sårbarheder, som kan udnyttes til at distribuere deres malware.
WinRT PDF-udnyttelse ville i sidste ende udføres på samme måde, som udnyttelsessæt som Angler eller Neutrino drager fordel af sårbarheder i Flash, Java og Silverlight.
Når udnyttelsen er udført, vil din computer blive udsat for alle mulige sikkerhedstrusler; personlige data bliver nemme at stjæle De 3 mennesker er mest sandsynlige at hacke dine data og privatliv De 3 personer er mest sandsynlige at hacke dine data og privatliv Hvem er de mennesker, der mest sandsynligt bryder dit privatliv og manipulerer med dine data? , og vira og malware kan injiceres på din maskine efter hackerens indfald.
Er der sikkerhedsforanstaltninger, og er du i fare?
På trods af de alvorlige advarsler er du sandsynligvis ikke i fare - endnu. I skrivende stund er der ikke fundet nogen WinRT PDF-udnyttelser i naturen.
“WinRT PDF åbner en ekstra angrebsflade, der kan udnyttes til at angribe Edge-browseren. Men i øjeblikket er det dyrt at udnytte WinRT PDF via Edge på grund af den kombinerede udnyttelsesreducering på plads. Interesse for WinRT PDF og udvikling af nye udnyttelsesteknikker vil afgøre, hvornår en Edge drive-by-udnyttelse, der udnytter en WinRT PDF-sårbarhed, vil blive set i naturen.” - Mark Vincent Yason
Windows 10 bruger tidligere “Værktøjssæt til forbedret afbrydelse” (EMET) funktioner såsom “Randomisering af adresselokallayout” (ASLR) beskyttelse og kontrolflow Guard.
Disse værktøjer hjælper med at forhindre, at sårbarheder i software udnyttes. De gør dette ved at indføre særlige beskyttelser og forhindringer, som en hacker skal overvinde, hvis de skal få adgang til sikkerhedsmanglerne.
Disse beskyttelser gør udnyttelse af WinRT PDF-læseres sårbarhed til en tidskrævende og kostbar affære, og det er sandsynligvis, hvorfor vi endnu ikke ser en af disse udnyttelser i naturen.
Kort sagt - ikke få panik, men vær opmærksom.
Hvad med andre browsere?
Kunne du undgå Edge at holde dig sikker? Nå, ja og nej.
Firefox interne PDF-læser betragtes i vid udstrækning som den mest sikre; det er skrevet helt i JavaScript og gør brug af API'er og funktionalitet, der allerede er brugt andre steder online. Resultatet er at bruge Firefox til at åbne PDF'er er ikke mindre sikre end almindelig daglig internet-browsing.
Men selv det har ikke gjort Firefox 100 procent sikker. I august 2015 blev der opdaget en udnyttelse Opdater Firefox Now! Eller en sikkerhedsfejl kan stjæle dine lokale filer Opdater Firefox nu! Eller en sikkerhedsfejl kan stjæle dine lokale filer Du har brug for at affyre Firefox og hente den nyeste version lige nu. Mozilla har udstedt en kritisk opdatering, der løser en større sikkerhedsfejl, der kan lade hackere stjæle filer fra din harddisk. på et russisk nyhedssted, der søgte efter følsomme filer på en lokal maskine og uploade dem til en server i Ukraine. I arbejdet ved at injicere en JavaScript-nyttelast i den lokale filsammenhæng.
Firefox reagerede naturligvis med sikkerhedsrettelser øjeblikkeligt - men historien beviser, at ingen browser nogensinde vil være helt sikker mod en given trussel.
Chrome er mindre sikkert. Ligesom Edge implementeres PDF-læseren som en binær model. Derefter sandkasseres den væk fra andre dele af operativsystemet - men denne sandkasse er stadig den vigtigste forsvarslinje.
Skal vi give kant lidt spillerum?
I alt dette er det vigtigt at huske, at Edge stadig er mindre end et år gammel Microsoft får kanten, 1 milliard enheder, der kører Windows 10 og mere… [Tech News Digest] Microsoft får kanten, 1 milliard enheder, der kører Windows 10 , & Mere ... [Tech News Digest] Microsoft har kanten, Windows 10 er enormt, Secret lukker, integrerer MS-DOS-spil i tweets, tjener penge fra Silent Hills og ser Michael Bay blive vist af en amatørfilmskaber. . Der er masser af lovende tegn for fremtiden, men i øjeblikket er det et ufærdigt produkt.
Lad os ikke være for hårde på Edge. Var Chrome perfekt ved sin første udgivelse tilbage i 2008? Hvad med Firefox i 2002?
Da Chrome først blev tilgængeligt, var der ingen support til mushjul eller bogmærker. Det var først i version fire (to år efter dens første udgivelse), at vi så introduktionen af udvidelser. Det tog også to år at bestå Acid3-testen - en måde at teste en browsers overensstemmelse med webstandarder som Document Object Model (DOM) og JavaScript. Firefox kan stadig ikke videregive det.
Kanten ville være blevet korsfæstet, hvis den ikke understøttede bogmærker eller musehjul ved almindelig frigivelse.
Et igangværende arbejde ...
Moderne computere-apps er aldrig rigtigt “færdig”. Det er igangværende værker, der er i en konstant cyklus af opdateringer og forbedringer.
Edge er kun ni måneder ind i sit liv. Mens anti-Edge / anti-Microsoft-mennesker helt sikkert vil bruge denne udnyttelse som en anden pind til at basse browseren med, forbliver sandheden, at den i mange henseender ser meget lovende ud.
Hvis udvidelser kommer til udførelse senere på året som forventet, vil de være i stand til at konkurrere med de bedste i branchen.
Hvad er din mening om Edge og udnyttelsesnyhederne? Er du nogen, der mener, at Edge er dømt til at mislykkes, eller kunne vi se, at det bliver markedsleder i fremtiden? Fortæl os det i kommentarerne.