Chrome, Edge и Firefox могут сливать данные об установленных приложениях

Олег Иванов 08 Декабря 2020 - 09:43

Домашние пользователи

...

Согласно сообщениям специалистов компании Fortinet, две уязвимости в браузерах Chrome, Edge и Firefox могут использоваться для получения информации об установленных на устройстве пользователя приложениях. В теории атакующий может вычислить, в каких соцсетях сидит жертва, а также отметить установленный уязвимый софт и защитные программы.

Проблемы безопасности затрагивают Protocol Handlers (обработчики протокола), связанные с общим механизмом, позволяющим приложениям назначать собственные URI-схемы, которые впоследствии используются для запуска процесса.

В Windows, например, существуют три различных ключа, с помощью которых можно контролировать обработчики URL. Браузеры, как правило, предлагают пользователям выбрать другое приложение для обработки URL без http.

Чтобы задействовать описанный Fortinet сценарий атаки, злоумышленник должен создать специальные веб-страницы, которые вызовут потенциально уязвимые приложения, установленные в системе пользователя. Подобные атаки, по словам экспертов, способны обойти защитные меры вроде Smart Screen.

Firefox (64-битная версия под номером 78.0.1 в Windows 10) может сливать обработчики протокола. Эта брешь получила идентификатор CVE-2020-15680, разработчики уже успели пропатчить её. Суть дыры заключалась в том, что браузер по-разному обрабатывал изображения в коде страниц по существующим и несуществующим протоколам.

«Эту разницу можно вычислить с помощью простого JavaScript-кода. Брутфорс-атака может выдать другие обработчики протокола», — отмечают исследователи из Fortinet.

В случае Google Chrome специалисты тестировали наличие бреши на версии под номером 83.0.4103.116 (в Windows 10). Эксплуатация оказалась чуть более проблемная, но результат остался таким же.

Представители Google признали проблему и пообещали в скором времени выпустить патч, а вот Microsoft не считает это уязвимостью.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 18:53

Домашние пользователи Системы аутентификации Средства генерации одноразовых паролей (OTP)

Правда ли MAX нельзя отвязать от Госуслуг: что показала проверка

В соцсетях разошлась тревожная информация о том, что если привязать мессенджер MAX к аккаунту на «Госуслугах», то потом вернуть обычное подтверждение входа по СМС уже не получится. Но, судя по доступным данным, это не так.

Источником обсуждения стал личный пост одного из пользователей, который рассказал о собственном опыте.

При этом сам автор не утверждал, что смена способа входа невозможна для всех. Более того, основной смысл его публикации вообще был в другом: он советовал установить дополнительный пароль в мессенджере. Но в соцсетях из этого текста выдернули одну фразу и превратили её в громкое утверждение.

Соответствующая инструкция показывает, что сменить способ подтверждения входа всё же можно. Для этого нужно зайти в профиль, открыть раздел «Вход в систему» и выбрать другой удобный вариант верификации.

Если MAX уже подключён, в настройках это отображается отдельно: система показывает, что вход осуществляется по паролю и одноразовому коду из мессенджера. После этого пользователь может выбрать другой способ подтверждения личности — например, СМС, одноразовый код TOTP или биометрию.

Дальше всё стандартно: нужно нажать кнопку продолжения, подтвердить решение о смене способа входа, получить код в СМС на привязанный номер телефона и ввести его в соответствующее поле. После этого вход снова будет работать по привычной схеме.

Иначе говоря, история о том, что после привязки MAX от него уже нельзя отказаться, пока не подтверждается. Похоже, в этот раз речь идёт скорее о типичном преувеличении, чем о реальной проблеме сервиса.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!