Дыра в IE11
В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.
Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.
Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.
Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).
Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.
Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.
Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.
Максим Терехин
Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.
Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.
Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).
Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.
Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.
Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.
Максим Терехин
6 комментариев
Попробовал поставить вин 10 на старый старый комп. До этого пытался туда поставить 8. Восьмерка ставилась три с половиной часа, десятка установилась за 14минут. Сама поставила все(универсальные) дрова.
За три дня работы выявил один баг. Не ставится(не видит на странице)флешплейер.
На IE стоит встроеный. Вообщем, десятку можно ставить на старые железяки. Работает по типу линукса.
Внешне тоже начинает чем то напоминать линукс.
Новые значки на верхней панели окон.
А так… Семерка с частью 8-ки и более древних виндовсов.
Исчезла настройка папок, появилась настройка проводника.
Что по виду одно и тоже. Пропали волшебные иконки. И правильно. Мешали только.
Любителям нового старого посвящается:)
Говорят, что многое изменится.
Фих знает.
Как по скорости? Игры\приложения ставил какие-либо для теста?
з.ы. 32х или 64х битную ставил?
Приложения… Лиса, пару простеньких игр, типа СЭМа.
Магазин попробовал. Там два варианта. Один от 8-ки другой какой то новый, но он еще бета.
Карты,Here.
Наоткрывал одновременно много окон. В том числе и игру.
Игра открывается не на весь экран, а окном. Можно расширить на весь экран. Верхняя полоска пропадает, но если мышь подвести к верхнему краю, то появляется и можно игру опустить вниз мышей или вообще закрыть крестиком.
Меню. Ну ты видел уже на скринах. Открывается как у семерки, да только то же самое метро:)
Чтоб попасть в нужное место, надо на значек Пуск жмакать правой мышей.
Из сторонних не особо нужных прог работает хорошо торрент.
Мне прикалыаает, что 10-ка работает шустро.
Самое хорошее качество на сейчас, это то, что она не парится с дровами и ставит все сама. Если знаешь, что на графике есть свой родной, то качаешь и она сама находит нужный вариант для установки. Для моей графики дрова были только под хрюшу. Качнул и запустил на 10. Даже не вякнула, что мол, версия не та или еще что. В этом плане ей большой плюс. Так как на семерку дрова от хрюши особо не поставишь. Сначала надо потанцевать с бубном.
Есть минус. Графику то поставила, все работает, да только разрешение экрана особо не поменять. Выбор маленький дает. Если зайти на управление драйвером, то там частоты монитора какие то дикие. 240 Mhz.Странно.
У меня монитор маленький, на 15. Там рабочая частота 65мегагерц.А десятка дает только два варианта под эту частоту.
Да, шустрота.
Открыл четыре приложения разом. Ютуб тоже.
Проц то 1-ядерный, а все работало как надо. Быстрее хрюши. При открытии документа docx не особо притормозилось.
Раздражает автостарт некоторых прог. Ноте облако. Оно мне в куй не упало.
Вообщем, пока еще рано говорить о всех свойствах, но что уже есть, работают хорошо.
Скорее всего перейду на нее. Восемь один уже как то подзаманала.
А, еще, показал десятку челу вообще далекому от этого. Она знает только восьмерку. Попробовпла, говорит, классно. Удобней чем восьмерка.
10-ку я опробовал.
Но пока ставить на постоянку не буду — сыровата ышшо.
Подожду весеннего крупного патча.
Комп то старенький:)
Это на лаптопе у меня ого ог. Проц и5,
2,6-3,2Мегагерц. И графика амд. На 2 гб.
Но туда я пока не ставлю десятку. Файлов много и прог с ключами.
Может, даже ждать не буду сервиспака.
Вставка изображения
Оставить комментарий