Παρακάμπτεται η πολιτική Same-Origin στον Internet Explorer

Η τελευταία έκδοση του Internet Explorer δεν διαχωρίζει σωστά τα στοιχεία από δύο διαφορετικά domains, επιτρέποντας περιεχόμενο που ανήκει σε έναν τομέα να εμφανίζεται στο περιβάλλον του άλλου.

Τα προγράμματα περιήγησης ιστού διαθέτουν ένα μέτρο προστασίας που ονομάζεται same-origin policy (SOP), ένα σύνολο κανόνων, που εξασφαλίζουν ότι η προέλευση ενός μέρους των πληροφοριών (έγγραφο ή ένα σενάριο) διατηρείται και δεν αλληλεπιδρά με πόρο από άλλη προέλευση.

Ο ερευνητής ασφαλείας David Leo, εντόπισε έναν τρόπο να παρακάμψει το SOP στον Internet Explorer και απέδειξε την ύπαρξη της ευπάθειας με την πραγματοποίηση μιας επίθεσης cross-site scripting (XSS) στη dailymail.co.uk.

#secnews #man #rocks

Άνδρας του 17ου αιώνα θάφτηκε με μεγάλες πέτρες στο στήθος. Οι αρχαιολόγοι ανακάλυψαν τον τάφο ενός άνδρα που είχε καλυφθεί με πέτρες - προφανώς για να τον αποτρέψουν από το να αναστηθεί από τους νεκρούς, ως «εκδίκηση» - ενώ κάνουν ανασκαφές γύρω από μια αγχόνη του 17ου αιώνα στη Γερμανία. Ο τάφος, που βρίσκεται κοντά στην πόλη Quedlinburg στην πολιτεία της Σαξονίας-Άνχαλτ, είναι ένας από τους τουλάχιστον 16 που ανακαλύφθηκαν στον χώρο της αγχόνης, όπου οι εγκληματίες εκτελούνταν με απαγχονισμό από τη δεκαετία του 1660 έως τις αρχές του 19ου αιώνα.

00:00 Εισαγωγή
00:24 Περισσότεροι τέτοιοι τάφοι
00:46 Μέτρα αποτροπής
01:10 Άγνωστη αιτία θανάτου
01:41 Νεκροταφείο εγκληματιών

Μάθετε περισσότερα: https://www.secnews.gr/620572/andras-17-aiona-thaftike-megales-petres-stithos/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnBRLVRDWUVyUDJn

Άνδρας του 17ου αιώνα θάφτηκε με μεγάλες πέτρες στο στήθος

SecNewsTV 12 hours ago

#secnews #passkeys #googlepasswords

Η Google ανακοίνωσε ότι τα passkeys στο Google Password Manager θα συγχρονίζονται αυτόματα μεταξύ συσκευών Windows, macOS, Linux, Android και ChromeOS, για συνδεδεμένους χρήστες.

Τα passkeys έχουν πολλαπλά πλεονεκτήματα έναντι των κωδικών πρόσβασης. Το κυριότερο είναι η αδυναμία κλοπής κωδικών. Ένα άλλο πλεονέκτημα είναι η προστασία από επιθέσεις phishing.

Μάθετε περισσότερα: https://www.secnews.gr/620558/google-password-manager-passkeys-sigxronizontai-se-oles-siskeues/

00:00 Εισαγωγή
00:30 Πώς λειτουργούν τα passkeys
01:19 Συγχρονισμός
01:53 Google Password Manager PIN

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnVvbERONEdmVnI4

Google Password Manager: Αυτόματος συγχρονισμός passkeys

SecNewsTV 14 hours ago

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες.

Η επιτυχής διάλυση της πλατφόρμας Ghost, μέσω της διεθνούς συνεργασίας, είναι μια σημαντική νίκη στη συνεχιζόμενη μάχη κατά του οργανωμένου εγκλήματος.

#ΚαταπολέμησηΕγκλήματος #Κρυπτογράφηση #Εξάρθρωση #ΔιαδικτυακήΑσφάλεια #ΟργανωμένοΈγκλημα #ΠοινικέςΈρευνες #Ιδιωτικότητα #ΔιεθνήςΣυνεργασία #Τεχνολογία #ΑσφαλήςΔικτύωση

2 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkliTU80N2lGZnNB

Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών

SecNewsTV 18 hours ago

Load More... Subscribe

Ο Leo εξέδωσε και proof-of-concept (PoC) που αυτοματοποιεί την επίθεση, όπου αυθαίρετα το περιεχόμενο προβάλλεται στο πλαίσιο της ιστοσελίδας DailyMail. Η διεύθυνση παραμένει η ίδια, αλλά το περιεχόμενο που εμφανίζεται είναι αυτό που έχει επιλεγεί από τον ερευνητή.

Το PoC συνιστάται στο άνοιγμα μιας σελίδας στον ιστοχώρο του ερευνητή στον Internet Explorer και ακολουθώντας έναν σύνδεσμο που ενεργοποιεί την ευπάθεια.

Στη συνέχεια, η ιστοσελίδα της Daily Mail φορτώνεται σε ένα ξεχωριστό πλαίσιο και επτά δευτερόλεπτα αργότερα το αυθαίρετο περιεχόμενο αναδύεται, διατηρώντας την αρχική διεύθυνση της Daily Mail.

Ωστόσο, ορισμένες προϋποθέσεις είναι απαραίτητες για να στεφθεί με επιτυχία η επίθεση, όπως επισημαίνει ο Joey Fowler, ανώτερος μηχανικός ασφαλείας στο Tumblr. Εάν η στοχοθετημένη ιστοσελίδα δεν περιέχει X-Frame-Options headers με «deny» ή «same-origin» τιμές, τότε η επίθεση θα είναι επιτυχής.

Προσθέτει, επίσης, ότι αυτή η μέθοδος παρακάμπτει τους περιορισμούς του προτύπου HTTP-προς-HTTPS και ότι, ενώ το payload εγχέεται, “οι περισσότερες πολιτικές ασφάλειας περιεχομένου επίσης παρακάμπτονται (με HTML injection αντί της JavaScript).”

Ο Leo πραγματοποίησε δοκιμές στον Internet Explorer 11 που λειτουργεί με τα Windows 7, αλλά η παράκαμψη SOP λειτουργεί επίσης σε περιβάλλον Windows 8.1, με την τελευταία έκδοση του web browser.

Μια επίθεση αυτού του είδους θα μπορούσε να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για να κλέψουν ευαίσθητες πληροφορίες (διαπιστευτήρια για online λογαριασμούς) από το θύμα.

Χρησιμοποιώντας την ίδια τακτική, κακόβουλα αρχεία μπορούν να παραδοθούν χωρίς να δημιουργήσουν υποψίες στον χρήστη ότι η λήψη προέρχεται από μια μη αξιόπιστη πηγή.

Η ανακάλυψη είναι ιδιαίτερα σημαντική, καθώς βάσει αυτής μπορούν να αναπτυχθούν πολλαπλές επιθέσεις XSS.

Ο Mozilla Firefox και ο Google Chrome δεν επηρεάζονται από αυτό το σφάλμα.

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Παρακάμπτεται η πολιτική Same-Origin στον Internet Explorer

RELATED ARTICLES

Εγγραφή στο Newsletter

FOLLOW US

LIVE NEWS