В браузере «Яндекса» исправлен CSRF-баг
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

В браузере «Яндекса» исправлен CSRF-баг

Александр Панасенко 02 Сентября 2016 - 09:09
...
В браузере «Яндекса» исправлен CSRF-баг

Исследователь компании Netsparker рассказал в блоге о том, как он, с декабря 2015 года, добивался исправления уязвимости CSRF (Cross-Site Request Forgery) в браузере компании «Яндекс». Баг позволял атакующему обмануть встроенный в браузер инструмент для синхронизации данных, после чего браузер передавал всю информацию пользователя на чужой аккаунт.

Уязвимость была найдена в форме логина браузера «Яндекс», куда пользователь должен ввести свой email и пароль от аккаунта «Яндекс» для создания профиля в браузере. Так как браузер построен на движке Chromium, равно как и сам Chrome, он предлагает пользователям удобную функцию синхронизации всех настроек и данных между разными устройствами. Синхронизируется практически вся информация, включая пароли, закладки, историю браузера, информацию по автозаполнению форм и так далее.

Чтобы эксплуатировать данный баг, атакующему было достаточно заманить пользователя на вредоносный сайт, в коде которого должно было содержаться следующее:

 

 

Таким образом атакующий заставлял браузер отправить POST-запрос на синхронизацию данных, используя вместо данных пользователя, подставные данные атакующего. В результате синхронизация всей конфиденциальной информации производилась с чужим аккаунтом и без ведома жертвы. Исследователь пишет, что приведенный proof-of-concept не работает против Chrome, так как там механизм синхронизации функционирует иначе, сообщает xakep.ru.

На данный момент проблема уже была устранена, но на это потребовалось немало времени. Уязвимость была обнаружена еще в декабре 2015 года, но связаться с «Яндексом» исследователи сумели только 15 января 2016 года, когда вышли на прямой контакт с одним из инженеров компании в Twitter. Он и объяснил исследователям, что для них был создан аккаунт в почте «Яндекса», где, как оказалось, их с 22 декабря 2015 года дожидался ответ компании, гласивший, что специалисты «Яндекса» не сумели воспроизвести атаку. В начале февраля 2016 года исследователи сняли PoC-видео, и в начале марта представители «Яндекса» наконец подтвердили, что эксперты Netsparker обнаружили реальную проблему, и занялись ее устранением. Окончательно CSRF-уязвимость была исправлена только в мае 2016 года.

Следующая главная новость »
AM LiveРоссийские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Дуров сетует: приложение ЕС для проверки возраста взломали за две минуты
Екатерина Быстрова 17 Апреля 2026 - 10:46
Уязвимости программ Общее Защита персональных данных
Дуров сетует: приложение ЕС для проверки возраста взломали за две минуты

Сооснователь Telegram Павел Дуров резко раскритиковал новое европейское приложение для проверки возраста пользователей. По его словам, решение, представленное Еврокомиссией как приватный и безопасный инструмент, якобы удалось взломать всего за две минуты.

Дуров ссылается на публикацию Cybernews, однако саму историю он подал довольно жёстко: такой сценарий может со временем превратить систему проверки возраста в более жёсткий механизм цифрового контроля.

Поводом для спора стал свежий анонс Еврокомиссии. 15 апреля она объявила, что европейское приложение для проверки возраста технически готово и вскоре станет доступно гражданам.

В Брюсселе подают этот инструмент как способ защитить детей в интернете и при этом не заставлять платформы собирать лишние персональные данные. Еврокомиссия отдельно подчёркивает, что решение должно помогать подтверждать возраст с сохранением конфиденциальности пользователя.

Дуров, впрочем, увидел в этой истории совсем другую логику. В своём телеграм-канале он написал, что сначала пользователям показывают приложение, которое якобы уважает приватность, затем оно быстро компрометируется, а после этого появляется предлог ослабить конфиденциальность ради «исправления» проблемы. В его трактовке это может привести к созданию инструмента слежки за пользователями соцсетей в странах ЕС.

Сама идея проверки возраста сейчас становится для ЕС всё более важной. Еврокомиссия продвигает её как часть более широкой политики по защите несовершеннолетних в интернете, особенно на платформах с потенциально опасным или взрослым контентом.

AM LiveРоссийские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!
NGENIX представила аттестованное облако для банков и онлайн-сервисов
Новость
NGENIX представила аттестованное облако для банков и онлайн-...
Мошенники атакуют пользователей взрослых чатов
Новость
Мошенники атакуют пользователей взрослых чатов
Атакующие взломали популярный сканер Trivy через GitHub-теги
Новость
Атакующие взломали популярный сканер Trivy через GitHub-теги

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.