–11 голос |
О проблемах безопасности, связанных с поддержкой веб-стандарта WebGL в графических движках современных браузеров, сообщалось месяц назад. Но новая уязвимость, обнаруженная специалистами британской Context Information Security, характерна исключительно для реализации WebGL, используемой в браузере Firefox, и позволяет украсть любую картинку, отображаемую на экран ПК под управлением Windows и Mac – достаточно чтобы пользователь посетил специальным образом запрограммированную веб-страницу. При этом не остается никаких признаков хищения данных.
Исследователи Context разработали схему эксплуатации выявленной в Firefox уязвимости. При посещении вредоносного ресурса производится заражение памяти видеокарты (методами аналогичными heap spray, используемыми для динамической памяти приложений), в результате чего собираются данные, которые обрабатываются графическим процессором в определенный момент времени. Таким образом, украсть можно не только WebGL-контент, а данные вообще любых приложений, работающих на ПК. В качестве примера исследователи продемонстрировали скриншот украденной шифрованной сессии в LinkedIn с ПК под управлением Apple OS X.
Mozilla обещает залатать уязвимость уже в версии Firefox 5, выпуск которой состоится на этой неделе.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
–11 голос |