Microsoft раскритиковала Chrome Frame

Корпорация Microsoft предупреждает о проблемах безопасности, которые могут возникнуть при использовании плагина Chrome Frame, позволяющего использовать возможности браузера Google в Internet Explorer 8.

Как мы сообщали ранее, Google выпустила новый плагин для Internet Explorer под названием Google Chrome Frame, который превращает этот браузер в Chrome/ При этом увеличивается производительность работы JavaScript, и появляется поддержка HTML5 и других продвинутых веб-технологий.

Принцип работы плагина довольно прост и напоминает возможности дополнения IE Tab, позволяющего выводить в Firefox страницы отрендеренные с помощью Internet Explorer. При использовании Google Chrome Frame вся функциональность и внешний вид браузера Microsoft остаются прежними, только вместо ядра Internet Explorer страницу теперь обрабатывает Google Chrome.

В Microsoft оперативно отреагировали на появление данного плагина. "Пользователи, устанавливающие данную разработку, подвергают себя риску. После инсталляции Google Chrome Frame вероятность попадания вредоносных кодов в систему увеличивается вдвое", говорится в официальном сообщении корпорации. "Это не обязательный плагин для работы браузера, Microsoft не гарантирует его безопасность. Запуск браузера с плагином удваивает потенциальный риск атак. Мы не находим его полезным для работы", - говорит Эми Баздукас, генеральный менеджер Microsoft Internet Explorer. По ее словам, Chrome Frame в случае с браузером Internet Explorer 8 без ведома пользователей пренебрегает всеми новыми средствами защиты, реализованным в браузере.

"Chrome Frame нарушает модель конфиденциальности IE, в случае с этим плагином пользователи не получают того уровня защиты, на который они рассчитывают. В данном случае пользователи просто пренебрегают правилами безопасности", - говорит она.

По словам менеджера Microsoft, одним из самых вопиющих моментов в работе Chrome Frame является небрежная работа с историей браузера. Так, когда пользователь желает удалить файлы, оставшиеся от работы в сети, то происходит лишь частичное удаление, большинство данных, сохраненных Chrome Frame остаются в системе.

В официальном заявлении Microsoft говорится, что устанавливая плагин, пользователи принимают на себя риск, который сама Microsoft "не рекомендует принимать для себя, своих друзей и близких".

"Мы не говорим, что в Chrome Frame есть конкретные уязвимости в безопасности, но есть вполне конкретные опасения по поводу того, что плагин в целом не способствует повышению уровня надежности компьютера", - говорит Баздукас. "Пользователи нам постоянно говорят, что они ищут более безопасный и удобный браузер, так вот это как раз обратный случай".

В свою очередь представители Google отвергают обвинения Microsoft, напоминая, что на момент выпуска сообщалось, что Chrome Frame - это пока только бета-версия, кроме того все действия плагина выполняются в "песочнице" и реальной угрозы для системы нет.

cybersecurity.ru

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Две критические бреши в Zoom позволяют взломать системы пользователей

Несмотря на резкий скачок дохода разработчиков Zoom, сервис продолжают преследовать проблемы безопасности. Исследователи из Cisco Talos выявили две новые уязвимости в программе. Бреши получили статус критических, поскольку позволяют атакующим взламывать системы пользователей, участвующих в групповых чатах.

Как пояснили специалисты, тип обеих уязвимостей — «path traversal», то есть они допускают запись или копирование произвольных файлов в систему жертвы. Успешная эксплуатация этих дыр может вылиться в выполнение вредоносного кода.

При этом в ходе атаки с целевым пользователем требуется минимальное взаимодействие — ему просто нужно отправить специально сформированное сообщение через уязвимую версию Zoom.

Одна из брешей, получившая идентификатор CVE-2020-6109, находится в службе GIPHY, которая используется в Zoom для поиска GIF-картинок. К слову, в прошлом месяце Facebook купил GIPHY.

Как выяснили эксперты, Zoom не проверяет источник, из которого загружается GIF. Таким образом, атакующий может «подсунуть» своё злонамеренное изображение. Более того, Zoom не проверяет имена файлов, благодаря чему замаскированные под GIF вредоносные объекты могут проникнуть в локальные папки пользователя.

Вторая уязвимость — CVE-2020-6110 — приводит к удалённому выполнению кода. Она затрагивает обработку кусков кода, отправленных в чаты. Это тоже проблема исключительно Zoom, с которой должны разобраться разработчики сервиса для видеоконференций.

Напомним, что в Zoom хотят усилить шифрование видеозвонков, но только для платных пользователей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru