25% протестированных расширений Google Chrome допускают кражу данных

Александр Панасенко 03 Октября 2011 - 13:12

...

Обнаружено, что 27 из 100 протестированных расширений Google Chrome уязвимы к атакам по извлечению данных (паролей, истории и т.д.) специально разработанными вредоносными сайтами и взломщиками открытых Wi-Fi сетей.

Трое исследователей безопасности вручную проанализировали 50 наиболее популярных расширений Chrome и прибавили к этому списку ещё 50 выбранных наугад, сообщает xakep.ru.

"Мы искали уязвимости JavaScript-инъекций в ядре расширений (странице опций, бэкграундк и поп-апах); инъекция скриптов в ядре позволяет получить полный контроль над расширением", - объяснил Адриан Портер Фелт, один из исследователей. Чтобы доказать своё заявление, они разработали PoC–атаки для того, чтобы использовать уязвимости в своих целях.

Плохая новость состоит в том, что более 25% протестированных расширений были признаны уязвимыми, и семь из них используют более 300 000 пользователей.

Но есть и хорошая новость: 49 из 51 уязвимостей можно пропатчить просто используя одно из двух предложенных правил безопасности (Content Security Policies).

Эти правила различными способами предотвращают внедрение вредоносных кодов: запрещая использование eval функций, так что непроверенные данные не могут быть использованы в качестве кода; перемещая легальный JavaScript в файл .js , так что когда внедряются вредоносные скрипты, они отличаются от законных и их можно сразу распознать; и полностью или частично отвергая все внешние скрипты.

"В дополнение к основным ошибкам, расширения могут добавлять уязвимости на сайты", - отмечает Портер Войлок. "CSP не смогут предотвратить это, но разработчики должны помнить, что нельзя использовать innerHTML для модификации веб-сайтов. Вместо этого используйте innerText или DOM-методы, такие как AppendChild. Расширения также не должны добавлять HTTP-скрипты или CSS для сайтов HTTPS".

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 20 Ноября 2025 - 12:23

Windows Ошибки конфигурации программ Корпорации Государство Microsoft

Windows спрячет BSOD на публичных дисплеях через 15 секунд

Публичные площадки всё чаще используют большие дисплеи для рекламы и отображения важной информации. В аэропортах, например, на таких экранах показывают расписание рейсов. Но если дисплей работает под управлением Windows и что-то идёт не так, критическая ошибка превращается в гигантский «синий экран смерти», который видят все вокруг. Сейчас он уже чёрный, но суть та же.

Чтобы избежать подобных ситуаций, Microsoft готовит специальную функцию для устройств, работающих в режиме публичных дисплеев.

Администраторы смогут отмечать такие системы как «public signage», и в случае критического сбоя экран с ошибкой будет показываться всего 15 секунд. После этого система автоматически погасит дисплей и оставит на нём пустой чёрный экран.

Снаружи это будет выглядеть так, будто экран просто перестал работать, а не демонстрирует критическую ошибку на весь торговый центр или аэропорт. Формально это косметическая мера, но она явно избавит Microsoft и владельцев дисплеев от неловких моментов.

При этом сам «синий экран» никуда не исчезает — он просто скрывается. Когда технический специалист подключит клавиатуру и мышь, дисплей снова активируется и покажет всю нужную информацию: какой драйвер вызвал сбой, требуется ли перезагрузка и надо ли что-то чинить.

Функция будет доступна только для устройств цифровой вывески и не появится на обычных пользовательских компьютерах.