Windows 10 Browser Flaw permite hackerilor să vă fure parolele

Corectați instalarea Windows 10 dacă nu ați făcut-o în ultima vreme - există o eroare gravă a browserului Edge care ar putea permite unui atacator la distanță să fure parole și alte informații personale sensibile de pe computer.

Defectul, descoperit de cercetătorul turc de securitate Ziyahan Albeniz, are legătură cu modul în care Edge gestionează fișierele locale. La fel ca toate browserele, Edge poate afișa HTML și alte fișiere compatibile cu browser-ul care se află pe computerul dvs. la fel de ușor pe cât poate afișa pagini web (care sunt într-adevăr doar fișiere HTML pe computerul altcuiva).

Pentru a remedia acest defect al mașinii dvs., rulați pachetele de actualizare de securitate din iunie sau iulie emise de Microsoft dacă mașina dvs. nu este setată să se actualizeze automat. Puteți accesa Setări, apoi Actualizări și securitate, apoi Verificați dacă există actualizări. Dacă ești pe deplin actualizat, ai terminat deja.

MAI MULTE: Cum se folosește Windows 10

Problema aici este că până la actualizările de securitate din iunie, Edge, „noul” browser Microsoft, nu s-a protejat împotriva fișierelor locale rău intenționate - doar fișiere rău intenționate de pe serverele web la distanță. Este o supraveghere stupidă, dar de înțeles, așa cum a spus Albeniz într-un blog postat pe site-ul angajatorului său, firma de securitate londoneză Netsparker.

„Un lucru care este adesea trecut cu vederea în cadrul unor proiecte de dezvoltare similare, este cunoașterea dobândită de ani de zile de mici remedieri de securitate pentru produsul original [adică Internet Explorer]”, a scris Albeniz. "Aceste soluții de securitate și cunoștințele care vin odată cu acesta se pot pierde atunci când redesenăm un browser web. Asta ar putea explica de ce Microsoft Edge a fost singurul browser pe care l-am găsit, care era vulnerabil la acest defect."

Din cauza acestei greșeli, un escroc ar putea să vă trimită un fișier HTML ca atașament. Dacă ați deschis sau previzualizați fișierul în aplicația de mail încorporată din Windows 10, care utilizează Edge pentru a afișa fișiere HTML, fișierul ar putea imediat să citească și să copieze informații din toate celelalte fișiere compatibile cu browser-ul de pe computer, cum ar fi fișierele text , JPEG.webp și GIF.webp-uri.

Fișierul ar putea trimite orice informații adunate către un server la distanță. Nu ar trebui să fie un fișier complicat - fișierul rău intenționat al lui Albeniz este format din 19 linii care se ridică la 931 kilobyți.

Deci ce crezi? Ei bine, mulți oameni notează parole, numere de cont bancar și alte informații importante în fișiere text păstrate pe desktop-urile lor. Albeniz a realizat un videoclip care arată cum ar putea avea loc un atac.

„Probabil că nu există niciun program antivirus care să-mi recunoască fișierul ca fiind rău intenționat și aș putea extrage fișierele printr-o conexiune HTTPS sigură”, a subliniat Albeniz. "Acesta este ceea ce face acest atac atât de furtunos."

Credit de imagine: T.Dallas / Shutterstock