Google в среду опубликовала код эксплойта для неустраненной уязвимости в кодовой базе браузера Chromium, что угрожает миллионам пользователей Chrome, Microsoft Edge и практически всех других браузеров на базе Chromium. Код доказательства концепции эксплуатирует программный интерфейс Browser Fetch, стандарт, который позволяет загружать длинные видео и другие большие файлы в фоновом режиме. Злоумышленник может использовать эксплойт для создания соединения с целью мониторинга некоторых аспектов использования браузера пользователем и в качестве прокси для просмотра сайтов и запуска атак отказа в обслуживании. В зависимости от браузера, соединения либо открываются заново, либо остаются открытыми даже после перезагрузки браузера или устройства, на котором он работает.

Неисправленная уязвимость остается открытой уже 29 месяцев (и продолжает оставаться таковой). Уязвимость может быть использована любым сайтом, который посещает пользователь. По сути, компрометация представляет собой ограниченную "черную дверь", которая делает устройство частью ограниченной бот-сети. Возможности ограничены теми же действиями, которые может выполнять браузер, такими как посещение вредоносных сайтов, предоставление анонимного прокси-серфинга для других, включение проксированных DDoS-атак и мониторинг активности пользователя. Тем не менее, эксплойт может позволить злоумышленнику объединить тысячи, возможно, миллионы устройств в сеть. Как только станет доступна другая уязвимость, злоумышленник сможет использовать ее для компрометации всех этих устройств.

Источник

Новые
В заявке на IPO SpaceX содержатся ставки на ИИ, мечты о Starship и фигура Илона Маска в центре внимания
Обратно к списку
Старее «1С-Битрикс» и «Солар» усиливают безопасность партнерских внедрений на платформе «1С-Битрикс»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *