Využitie súboru PDF spoločnosti Microsoft Edge: Čo potrebujete vedieť

Reklama

V rovnakom čase ako Microsoft predstavil Windows 10 Vytvorte si dnes svoj deň uvedenia na trh: Získajte Windows 10 teraz!Ste pripravení nainštalovať systém Windows 10. Nanešťastie ste zmeškali Insider Preview a teraz to chvíľu trvá, kým sa aktualizácia objaví na vás. Tu je návod, ako získať systém Windows 10 teraz! Čítaj viac , spustila sa aj nový prehliadač - Microsoft Edge. Po všetkých problémoch s bezpečnosťou a ochranou osobných údajov v prehliadači Internet Explorer to mal byť nový začiatok, čistá tabuľka.

Edge niektoré určite predstavil úžasné nové funkcie 10 dôvodov, pre ktoré by ste teraz mali používať Microsoft EdgeMicrosoft Edge predstavuje úplnú prestávku od značky Internet Explorer a zabíja tým 20-ročný rodokmeň. Preto by ste ho mali používať. Čítaj viac . Webové stránky s poznámkami, zoznam čitateľov a elegantný dizajn sú v porovnaní s predchádzajúcimi značkami veľkým skokom vpred.

Bohužiaľ, nový prehliadač tiež priniesol nové problémy. Posledným problémom, ktorý je potrebné venovať pozornosť médií, je využitie súboru PDF.

Čo je to? Ste v bezpečí? A je Edge jedinečný s týmito typmi problémov? Poďme to vyšetriť.

Čo je to?

Využitie sa točí okolo knižnice Windows Runtime PDF Renderer (WinRT PDF). Hlavným účelom tohto softvéru je umožniť vývojárom ľahko integrovať funkciu prezerania PDF do svojich programov.

To znamená, že je prítomný v mnohých aplikáciách Windows (aplikácie stiahnuté z obchodu Windows Store) a Windows pečený softvér Windows 10 Ako zakázať prehliadač Microsoft Edge v systéme Windows 10Prehliadač Edge v systéme Windows 10 nie je možné odstrániť ani odinštalovať. Existuje však nástroj, ktorý môžete použiť na jeho deaktiváciu, aby sa už nikdy nespustil. Čítaj viac . Využíva to všetko od čitateľov PDF od OneNote po tretie strany. Edge ho používa ako predvolenú čítačku PDF, takže súbory PDF vložené do webovej stránky sa automaticky otvoria v knižnici.

Výskumník IBM Mark Vincent Yason pôvodne chybu odhalil. Zistil, že WinRT PDF je možné použiť pri útokoch typu drive-by tým, že do skrytého rámca v dokumente PDF vloží škodlivý kód. Je to veľmi podobné ako Využívali sa Java a Flash Takto vás hacknú: Murky svet exploitačných súpravPodvodníci môžu používať softvérové ​​balíky na zneužitie zraniteľností a vytvorenie škodlivého softvéru. Ale čo sú tieto exploitujúce súpravy? Odkiaľ prišli? A ako ich možno zastaviť? Čítaj viac v minulosti.

Ako to funguje?

Problémy vznikajú v dôsledku použitia formátu WinRT PDF spoločnosťou Edge.

Teoreticky by hacker mohol obsahovať zneužitie PDF vo formáte WinRT v súbore PDF, ktorý by mohol byť tajne otvorený pomocou prvku iframe umiestneného mimo obrazovku pomocou CSS. Všetko, čo by mali byť útočníci, musí urobiť, je nájsť a vytvoriť databázu zraniteľností WinRT, ktorú je možné využiť na distribúciu ich škodlivého softvéru.

Využitie programu WinRT PDF by sa nakoniec malo vykonať rovnakým spôsobom, ako by sa využívali súpravy ako Angler alebo Neutrino, ktoré využívajú výhody zraniteľností Flash, Java a Silverlight.

Po spustení zneužitia bude váš počítač vystavený všetkým možným bezpečnostným hrozbám; osobné údaje sa ľahko ukradnú 3 ľudia s najväčšou pravdepodobnosťou budú hackovať vaše údaje a súkromieKto sú ľudia, ktorí s najväčšou pravdepodobnosťou narušia vaše súkromie a manipulujú s vašimi údajmi? Čítaj viac a vírusy a škodlivý softvér môžu byť do vášho počítača vstreknuté rozmarom hackera.

Existujú bezpečnostné opatrenia a ste v ohrození?

Napriek hrozným varovaniam vám pravdepodobne ešte nehrozí riziko. V čase písania sa vo voľnej prírode nenašli žiadne možnosti využitia formátu WinRT PDF.

„WinRT PDF otvára ďalšiu útočnú plochu, ktorú je možné využiť na útok na prehliadač Edge. Využívanie PDF formátu WinRT prostredníctvom Edge je zatiaľ nákladné z dôvodu kombinovaných zmiernení zneužitia. Záujem o WinRT PDF a vývoj nových techník využívania určia, kedy sa bude vo voľnej prírode objaviť disk Edge využívajúci zraniteľnosť vo formáte PDF WinRT. “ - Mark Vincent Yason

Windows 10 používa bývalé funkcie „Enhanced Mitigation Experience Toolkit“ (EMET), ako napríklad „Náhodné rozloženie adresného priestoru“ (ASLR) a Control Flow Guard.

Tieto nástroje pomáhajú zabrániť zneužitiu zraniteľností v softvéri. Robia to zavedením špeciálnej ochrany a prekážok, ktoré musí hacker prekonať, ak majú získať prístup k bezpečnostným nedostatkom.

Vďaka tejto ochrane je zneužitie zraniteľnosti čítačky PDF vo formáte WinRT časovo náročné a nákladné, a preto pravdepodobne ešte jeden z týchto zneužívaní vo voľnej prírode zatiaľ neuvidíme.

Stručne povedané - neprepadajte panike, ale buďte ostražití.

A čo iné prehliadače?

Mohli by ste sa vyhnúť Edgeovi, aby ste boli v bezpečí? Áno, aj nie.

Interná čítačka PDF prehliadača Firefox sa všeobecne považuje za najbezpečnejšiu; je napísaný výlučne v jazyku JavaScript a využíva rozhrania API a funkcie, ktoré sa už používajú inde na internete. Výsledkom je, že pomocou prehliadača Firefox na otváranie súborov PDF nie je nič menej bezpečné ako bežné každodenné prehľadávanie internetu.

Ale ani to nezbavilo Firefox 100% bezpečnosti. V auguste 2015, an exploit bol objavený Aktualizujte Firefox teraz! Alebo bezpečnostný chybový kľúč môže ukradnúť vaše miestne súboryMusíte spustiť Firefox a stiahnuť najnovšiu verziu práve teraz. Mozilla vydala kritickú aktualizáciu, ktorá opravuje hlavnú bezpečnostnú chybu, ktorá by mohla hackerom umožniť ukradnúť súbory z pevného disku. Čítaj viac na ruskej spravodajskej stránke, ktorá vyhľadávala citlivé súbory na lokálnom počítači a odovzdala ich na server na Ukrajine. Fungovalo tak, že do kontextu lokálneho súboru vstrekovalo užitočné zaťaženie skriptu JavaScript.

Firefox prirodzene reagoval bezpečnostnými záplatami okamžite - ale príbeh dokazuje, že žiadny prehliadač nebude nikdy úplne bezpečný pred danou hrozbou.

Chrome je menej bezpečný. Podobne ako Edge je aj PDF reader implementovaný ako binárny model. Potom je izolovaný od ostatných častí operačného systému - ale ten sandbox zostáva hlavnou obrannou líniou.

Mali by sme dať Edgeovi nejakú Leeway?

Pri tom všetkom je dôležité si to pamätať Okraj je stále mladší ako jeden rok Microsoft získava hranu, 1 miliardu zariadení so systémom Windows 10 a ďalšie... [Tech News Digest]Microsoft má Edge, Windows 10 je obrovský, Secret sa zatvára, vkladá hry MS-DOS do tweety, zarába peniaze z Silent Hills a sleduje Michaela Baya, ktorý sa objaví amatérskym filmárom. Čítaj viac . Do budúcnosti existuje veľa sľubných znakov, ale v súčasnosti je to nedokončený produkt.

Nebuď na Edge príliš tvrdý. Bol Chrome pri svojom prvom uvedení na trh v roku 2008 dokonalý? A čo Firefox v roku 2002?

Keď bol prehliadač Chrome prvýkrát uvedený na trh, neexistovala podpora koliesok myši ani záložiek. Až do verzie štyri (dva roky po jej pôvodnom vydaní) sme videli rozšírenie. Trvalo to tiež dva roky, kým prešiel test Acid3 - spôsob testovania súladu prehliadača s webovými štandardmi, ako je napríklad Object Object Model (DOM) a JavaScript. Firefox to stále nedokáže odovzdať.

Okraj by bol ukrižovaný, ak by nepodporoval záložky ani posúvanie kolieska myši pri všeobecnom vydaní.

Prebieha práca ...

Moderné počítačové aplikácie nie sú nikdy „hotové“. Prebiehajú práce, ktoré sú v neustálom cykle aktualizácií a vylepšení.

Edge je len deväť mesiacov od svojho života. Zatiaľ čo ľudia využívajúci anti-Edge / anti-Microsoft určite využijú toto zneužitie ako ďalšiu palicu, ktorou môžu prehĺbiť prehliadač, pravda zostáva, že v mnohých ohľadoch vyzerá veľmi sľubne.

Ak príde k rozšíreniu koncom tohto roka podľa očakávania, bude schopný konkurovať tým najlepším v odbore.

Aký je váš názor na Edge a správy o zneužívaní? Ste niekto, kto si myslí, že Edge je odsúdený na neúspech, alebo by sme mohli vidieť, že sa v budúcnosti stane lídrom na trhu? Dajte nám vedieť v komentároch.