Magmalion 26.05.2016 Информационная безопасность

УЯЗВИМОСТЬ В PDF.JS БРАУЗЕРА MOZILLA FIREFOX

Нашими специалистами найдена уязвимостью в популярном и любимом многими пользователями браузере Mozilla Firefox. Эта уязвимость использовалась вредоносной программой для
похищения всякого рода конфиденциальных дынных с компьютеров пользователей.
Причем функционировал вирус как в во всех популярных поисковых системах. Атака началась с читателей одного из российских новостных сайтов. Она производилась с использованием различных рекламных блоков.
Суть уязвимости заключается в том, что хакер может обойти ограничения безопасности JavaScript кода и получить доступ к просмотрщику PDF PDF.js. Благодаря чему возникает возможность читать содержание любых локальных файлов пользователя и отправлять на серверы указанные злоумышленником. Например, на компьютере с Windows после удачной эксплуатации реализовывался поиск файлов конфигурации, которые могли бы содержать пароли и другую интересную информацию.
Разработчики из Mozilla сообщили о выявлении критической уязвимости(CVE-2015-4495) и обещали выпустить обновления Firefox 39.0.3 и 38.1.1 ESR.
Эксплоит
Для эксплуатации напишем специальную HTML-страницу, которая запустит атакующий JavaScript.
кусочек кода.png
Суть кода проста: использование нескольких iframe и открытие файлов как PDF.
Решение
Для наших клиентов мы выпустили заплатку, которая отключает запуск постороннего кода.Таким образом данная уязвимость не как не сможет быть реализована на сайтах наших клиентов и повредить их клиентам.

Возврат к списку

Hide popup
Заказать обратный звонок
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Заказать мобильное приложение
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Заказать защиту сайта
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Заказать сайт
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Продвинуть сайт
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Создание групп в социальных сетях
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Контекстная реклама
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Аналитика и аудит
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Ведение групп в социальных сетях
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Таргетированная реклама в соцсетях
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Репутационный маркетинг
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
А/В тестирование
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Настройка счетчика для сайта
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Usability-аудит
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Комплексная веб-аналитика
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Репутационный маркетинг
Отправить
Спасибо!Ваша заявка отправлена.Мы с Вами скоро свяжемся.
Hide popup
Брянск Москва