[ Zavřít ] 


 

RSS Kanál

 

Výchozí prohlížeč Androidu obsahuje kritickou zranitelnost

Prohlížeč integrovaný v operačním systému Android je kriticky zranitelný. Umožňuje totiž útočným stránkám přistupovat k obsahu ostatních stránek.

 

Bezpečnostní slabina androidího prohlížeče se nachází v klíčovém mechanismu prohlížeče – tzv. Same Origin Policy. Ten se mimo jiné stará o to, aby skripty z jedné stránky nemohly přistupovat k obsahu ostatních stránek otevřených v prohlížeči. Skripty tak mají pouze číst a upravovat webové prvky, které pochází ze stejného zdroje jako samy skripty. A zdroj se indentifikuje pomocí portu, domény a protokolu.

Android obsahuje kritickou zranitelnost v Same Origin Policy

Kritická zranitelnost však umožňuje prolomení Same Origin Policy. Ke zneužití zranitelosti stačí přidat do javascriptového rámce pouze NULL byte a útočný skript může bez dalších omezení získavat data z jiných webů a pracovat s nimi. Jakákoliv navštívená webová služba může být tedy napadnuta a její data ukradena. Pomocí této zranitelosti Same Origin Policy mohou být unesena sezení, ukradeny hesla a citlivá data, zjištěny všechny údaje o navštívených webech a operacích na nich provedených.

Ohroženy jsou i produkty třetích stran, které prohlížeč AOSP (Android Open Source Project) používají v rámci svých aplikací. Někteří uživatelé jej dokonce nainstalovali i na Android 4.4, v němž je defaultním prohlížečem Chrome. Bezpečnostní expert Rafay Baloch objevení zranitelnosti Googlu nahlásil již v srpnu. Společnost mu odpověděla, že se danou zranitelost nepodařilo zreprodukovat a považola celou věc za uzavřenou. Další aktivitu začala vyvíjet teprve poté, co Baloch celou věc zveřejnil na svém blogu a vyvinul framework, který slabinu umožňuje testovat.

Google už by měl mít hotovy záplaty této zranitelnosti, není ovšem jasné, jak je bude distribuovat. Klasický AOSP prohlížeč byl totiž součástí systému Android, nikoliv samostatná aplikace stáhnutelná a aktualizovatelná přes obchod Google Play. Do té doby je nejlepší obranou přejít na jiný prohlížeč, optimálně nezaložený na AOSP.

Zdroje: Forbes.com, Android Headlines

 

 

 

 

 

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...

Microsoft končí s kamennými prodejnami

Koronavirus zpečetil osud kamenných prodejen Microsoftu. Znovu se už neotevřou. Ze všech poboček zůstanou zachovány jen čtyři provozovny na prestižních adresách. Ani ty ovšem nebudou sloužit maloobchodnímu prodeji, nýbrž reprezentačním účelům.  ...

Edge bez oprávnění nakládá s osobními daty

Uvolnění Microsoft Edge na vykreslovacím jádru už doprovází další kauza Microsoftu. Edge si sám naimportuje veškerá data dostupných prohlížečů, aniž by se obtěžoval zeptat se uživatele. To, co jeden může považovat za specifické selhání v...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama