В CSS Shaders обнаружена потенциальная уязвимость
15 Декабрь 2011
Специалист корпорации Google, отвечающий за информационную безопасность браузера Google Chrome, сообщил об обнаружении потенциальной уязвимости, через которую злоумышленники могут похитить конфиденциальные данные пользователя. Уязвимость связана с использованием технологии CSS Shaders, которая в ближайшем будущем, возможно, станет частью стандарта CSS.
Напомним, что CSS Shaders предназначена для включения поддержки применения шейдеров к тем или иным элементам веб-страницы сайта. Это дает широкие возможности для работы дизайнеров и программистов над оформлением веб-сайтов. Вместе с тем, по данным Адама Барта, технология CSS Shaders имеет проблему в безопасности, которая позволяет злоумышленникам использовать так называемую тайминг-атаку. С помощью тайминг-атаки киберпреступники способны получить данные с текущей веб-страницы, диалогового окна или любого другого элемента, из которых состоит веб-страница.
Адам Барт также приводит примеры атаки. В частности, для проведения атаки могут использоваться кнопки «Like» и аналогичные им, а также блоки iFrame, в которых на веб-страницу транслируется часть другого сайта. Кибермошенники могут создать специально сформированную веб-страницу с блоком iFrame, а уже в блоке будет расположена страница с личной информацией пользователя. CSS Shaders позволяют преступнику применить к блоку iFrame тот или иной шейдер, обрабатывающий полученную во фрейме картинку и трансформирующую ее. Затем преступник может произвести обратную трансформацию и восстановить полученное ранее изображение, содержащее конфиденциальные данные пользователя.
Разработчики конкурирующих браузеров (Opera и Apple Safari) подтвердили, что такая атака может быть проведена, однако отмечают, что выполнить ее чрезвычайно сложно. Кроме того, работающего экслоита, в настоящее время, не обнаружено, а потому говорить, что уязвимость является критической, нет никаких оснований.
Следует также отметить, что некоторое время назад в технологии WebGL была обнаружена похожая уязвимость. Разработчики также сумели создать эксплоит, использующий данную уязвимость для кражи конфиденциальных данных. Проблема была решена с помощью включения запрета на использование неавторизованных веб-сайтов в качестве источника данных.
Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
БобрДобр.ру
МоёМесто.ру
Memori.ru
LinkStore.ruМатериалы по теме В CSS Shaders обнаружена потенциальная уязвимость
Opera 48 получила расширенный конвертер и функцию создания скриншотов / Новости - Opera
Новый Firefox 35 поддерживает функцию видео и голосовых звонков / Новости - Mozilla Firefox
Google предлагает пользователям Chrome при отсутствии сети поиграть в мини-игру / Новости - Google Chrome
Mozilla подключилась к глобальной кампании в поддержку цифровой независимости / Новости - Mozilla Firefox
«Убийца хромобуков» от HP оказался слишком дорогим / Новости - Google Chrome
Новый Firefox 35 поддерживает функцию видео и голосовых звонков / Новости - Mozilla Firefox
Google предлагает пользователям Chrome при отсутствии сети поиграть в мини-игру / Новости - Google Chrome
Mozilla подключилась к глобальной кампании в поддержку цифровой независимости / Новости - Mozilla Firefox
«Убийца хромобуков» от HP оказался слишком дорогим / Новости - Google Chrome
- Войдите на сайт для отправки комментариев
Комментариев нет.