Załataj swoją instalację systemu Windows 10, jeśli ostatnio tego nie zrobiłeś – istnieje poważna luka w przeglądarce Edge, która może pozwolić zdalnemu napastnikowi wykraść hasła i inne poufne dane osobowe z twojego komputera.
Błąd, odkryty przez tureckiego badacza bezpieczeństwa Ziyahana Albeniza, dotyczy sposobu, w jaki Edge obsługuje lokalne pliki. Podobnie jak wszystkie przeglądarki, Edge może wyświetlać HTML i inne pliki kompatybilne z przeglądarką, które znajdują się na twoim komputerze, tak samo łatwo, jak może wyświetlać strony internetowe (które w rzeczywistości są tylko plikami HTML na czyimś komputerze).
Aby naprawić tę lukę na komputerze, uruchom pakiety aktualizacji zabezpieczeń z czerwca lub lipca wydane przez firmę Microsoft, jeśli komputer nie jest skonfigurowany do automatycznej aktualizacji. Możesz przejść do Ustawienia, a następnie Aktualizacje i zabezpieczenia, a następnie Sprawdź aktualizacje. Jeśli jesteś w pełni na bieżąco, to już koniec.
WIĘCEJ: Jak korzystać z systemu Windows 10
Problem polega na tym, że do czerwcowych aktualizacji zabezpieczeń Edge, „nowa” przeglądarka Microsoftu, nie chroniła się przed złośliwymi plikami lokalnymi – tylko złośliwymi plikami na zdalnych serwerach internetowych. To głupie, ale zrozumiałe przeoczenie, jak powiedział Albeniz na blogu na stronie swojego pracodawcy, londyńskiej firmy ochroniarskiej Netsparker.
„Jedną rzeczą, która często jest pomijana w podobnych, nowych projektach programistycznych, jest wiedza zdobyta przez lata wprowadzania drobnych poprawek bezpieczeństwa w oryginalnym produkcie [tj. Internet Explorerze]” – napisał Albeniz. „To właśnie te poprawki bezpieczeństwa i wiedza z nimi związana mogą zostać utracone podczas przeprojektowywania przeglądarki internetowej. To może wyjaśniać, dlaczego Microsoft Edge był jedyną przeglądarką, którą znalazłem, która była podatna na tę lukę”.
Z powodu tego błędu oszust może wysłać Ci plik HTML jako załącznik. Jeśli otworzysz lub wyświetlisz podgląd pliku we wbudowanej aplikacji Poczta systemu Windows 10, która używa Edge do wyświetlania plików HTML, plik będzie natychmiast mógł odczytywać i kopiować informacje ze wszystkich innych plików zgodnych z przeglądarką na komputerze, takich jak pliki tekstowe , JPEG.webp i GIF.webp.
Plik może wysyłać wszelkie zebrane informacje do zdalnego serwera. Nie musiałby to być skomplikowany plik - złośliwy plik Albeniza, który sprawdza słuszność koncepcji, składa się z 19 wierszy o rozmiarze 931 kilobajtów.
Więc co, myślisz? Cóż, wiele osób zapisuje hasła, numery kont bankowych i inne ważne informacje w plikach tekstowych przechowywanych na ich komputerach. Albeniz umieścił film pokazujący, jak mógł nastąpić atak.
„Prawdopodobnie nie ma programu antywirusowego, który rozpoznałby mój plik jako złośliwy i mógłbym wyodrębnić pliki przez bezpieczne połączenie HTTPS” – zauważył Albeniz. – To właśnie sprawia, że ten atak jest tak ukradkowy.
Źródło: T.Dallas/Shutterstock
Wskazówki dotyczące przeglądarki krawędzi
- Poprzednia wskazówka
- Następna wskazówka
- Udostępnij stronę internetową
- Wyłącz Flash
- Zmień folder pobierania
- Wyślij notatkę internetową
- Wyłącz lub włącz pliki cookie
- Przestań przywracać karty po awarii
- Zmień wyszukiwarkę na Google
- Przypnij witrynę do menu Start systemu Windows 10
- Włącz Nie śledź
- Ustaw stronę główną (lub strony główne)
- Włącz ciemny motyw
- Jak włączyć opcję Nie śledź w przeglądarce Microsoft Edge
- Jak zaimportować ulubione do Edge z innej przeglądarki?
- Wyczyść historię i pliki cookie w Microsoft Edge
- Drukuj w Microsoft Edge
- Dodaj stronę do listy czytelniczej w przeglądarce Microsoft Edge
- Zmień nazwę ulubionego w przeglądarce Microsoft Edge
- Jak dodać ulubioną witrynę/zakładkę w Microsoft Edge
- Jak otworzyć okno InPrivate w Microsoft Edge
- Włącz tryb czytania w Microsoft Edge
- Włącz i używaj Cortany w Microsoft Edge
- Blokuj wyskakujące okienka w przeglądarce Microsoft Edge
- Zarządzaj lub przeglądaj zapisane hasła
- Odłóż karty na bok
- Zwiększ swoją prywatność
- Wszystkie wskazówki dotyczące systemu Windows 10