Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Jeden z ciekawszych wykładów, który zostanie zaprezentowany w przyszłym tygodniu na konferencji Black Hat, dotyczy nowego sposobu manipulowania zawartością stron internetowych. GIFAR - plik łączący grafikę z archiwum klas języka Java - zagraża użytkownikom serwisów społecznościowych i aukcyjnych. Osadzenie go na stronie umożliwia wykradanie haseł i loginów.

robot sprzątający

reklama


Jak donosi ZDNet, pomysłodawcami nowej metody ataku są John Heasman, Billy Rios i Rob Carter. Używany przez nich plik przeglądarki traktują jak zwykłą grafikę w formacie GIF, natomiast wtyczka Javy uznaje go za aplet, który trzeba uruchomić (GIF+JAR). Wystarczy więc, że cyberprzestępca utworzy konto w serwisie umożliwiającym publikowanie zdjęć i załaduje spreparowane pliki. Zalogowani na stronie internauci, którym zdarzy się te obrazki obejrzeć, mogą zostać okradzeni z poufnych danych, takich jak nazwa użytkownika i hasło.

Atak da się przeprowadzić na każdej witrynie, która umożliwia ładowanie grafiki - stosowane są wprawdzie filtry mające blokować zagnieżdżanie skryptów na stronach, ale sprawdzany jest przy tym tylko format pliku. Bez trudu więc można swój profil uzupełnić o nietypowe obrazki z aktywną zawartością. Z sukcesem przetestowano też kombinacje JPEG+JAR oraz DOC+JAR.

Szczegóły na temat nowej metody ataku i sposobów chronienia przed nią użytkowników zostaną podane na konferencji Black Hat. Problem dotyczy większości przeglądarek, usterka występuje bowiem w wirtualnej maszynie Javy (ang. Java Virtual Machine) firmy Sun, która - jak pisze Heise Online - pracuje już nad tymczasową łatą. Według autorów prezentacji winne są także aplikacje sieciowe, które poprawność ładowanego pliku sprawdzają tylko i wyłącznie na podstawie jego rozszerzenia.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Następny artykuł » zamknij



Ostatnie artykuły:

fot. DALL-E



fot. DALL-E



fot. DALL-E



fot. DALL-E



fot. Freepik



fot. Freepik