Използване на PDF на Microsoft Edge: Какво трябва да знаете

реклама

В същото време като Microsoft представи Windows 10 Направете днес своя стартов ден: Вземете Windows 10 сега!Нямате търпение да инсталирате Windows 10. За съжаление сте пропуснали Insider Preview и сега отнема известно време, докато надстройката ще бъде разгърната към вас. Ето как да получите Windows 10 сега! Прочетете още , тя също така пусна нов браузър - Microsoft Edge. След всички проблеми със сигурността и поверителността около Internet Explorer, това трябваше да бъде нов старт, чист лист.

Edge със сигурност е въвел някои страхотни нови функции 10 причини, които трябва да използвате Microsoft Edge сегаMicrosoft Edge отбелязва пълна почивка от името на марката Internet Explorer, убивайки 20-годишно родословно дърво в процеса. Ето защо трябва да го използвате. Прочетете още . Анотируемите уеб страници, списъкът за четене и елегантният дизайн отбелязват големи скокове напред в сравнение с предшественика си.

Уви, новият браузър също въведе нови проблеми. Последният проблем, който трябва да получи медийно внимание, е експлоатацията му в PDF.

Но какво е това? Сигурни ли сте? И уникален ли е Edge с тези видове проблеми? Нека да разследваме

Какво е?

Експлоатацията се върти около библиотеката на PDF Rundime PDF Renderer (WinRT PDF). Основната цел на софтуера е да позволи на разработчиците лесно да интегрират функция за гледане на PDF в своите програми.

Това означава, че присъства в много приложения за Windows (приложения, изтеглени от Windows Store) и вграден софтуер за Windows 10 Как да деактивирате браузъра на Microsoft Edge в Windows 10Браузърът на Edge на Windows 10 не може да бъде премахнат или деинсталиран. Има обаче инструмент, който можете да използвате, за да го деактивирате, така че никога повече да не се стартира. Прочетете още . Използват се всичко от OneNote до PDF четци на трети страни. Edge го използва като PDF четец по подразбиране, така че PDF файлове, вградени в уеб страница, автоматично ще бъдат отворени в библиотеката.

Изследователят на IBM Марк Винсент Ясон първоначално откри недостатъка. Той откри, че WinRT PDF може да бъде използван при атаки при задвижване, като постави злонамерен код в скрита рамка в PDF документ. Много е подобно на това как Java и Flash бяха експлоатирани Ето как те те хакнат: Мътният свят на комплектите за експлоатацияИзмамниците могат да използват софтуерни пакети за използване на уязвимости и създаване на зловреден софтуер. Но какви са тези комплекти за експлоатация? Откъде идват? И как могат да бъдат спрени? Прочетете още в миналото.

Как работи?

Проблемите възникват в резултат на Edge използването на WinRT PDF.

Теоретично хакерът може да съдържа WinRT PDF експлоатация в PDF файл, който може да бъде тайно отворен с помощта на iframe, позициониран извън екрана от CSS. Трябва само да се намерят и създадат база данни с уязвимости на WinRT, която може да се използва за разпространение на техния зловреден софтуер.

WinRT PDF експлоатацията в крайна сметка ще се извърши по същия начин, по който експлоатационните комплекти като Angler или Neutrino се възползват от уязвимостите на Flash, Java и Silverlight.

След като експлоатацията бъде изпълнена, компютърът ви ще бъде изложен на всякакви заплахи за сигурността; личните данни стават лесни за кражба Тримата най-вероятно ще хакнат вашите данни и поверителностКои са хората най-вероятно да нарушат поверителността ви и да подправят вашите данни? Прочетете още и вируси и зловреден софтуер могат да бъдат инжектирани на вашата машина по прищявка на хакера.

Има ли предпазни мерки и рискувате ли?

Въпреки тежките предупреждения, вероятно не сте изложени на риск - все още. Към момента на писането не са открити експлоатации на WinRT PDF в природата.

„WinRT PDF отваря допълнителна повърхност за атака, която може да се използва за атака на браузъра Edge. Но засега използването на PDF WinRT през Edge е скъпо поради комбинираните смекчаващи експлоатации. Интересът към WinRT PDF и разработването на нови техники за експлоатация ще определят кога Edge задвижване чрез експлоатация, използващо уязвимостта на WinRT PDF, ще бъде видяно в природата. “ - Марк Винсент Ясон

Windows 10 използва предишни функции „Подобрен инструментариум за подобряване на смекчаването“ (EMET), като например „Рандомизация на разпределението на адресното пространство“ (ASLR) и защита на контролния поток.

Тези инструменти помагат да се предотврати експлоатацията на уязвимостите в софтуера. Те правят това, като въвеждат специални защити и препятствия, които хакерът трябва да преодолее, ако иска да получи достъп до пропуските в сигурността.

Тези защити правят използването на уязвимостта на WinRT PDF четеца времеемка и скъпа афера и вероятно затова тепърва ще виждаме един от тези подвизи сред природата.

Накратко - не изпадайте в паника, но бъдете внимателни.

Какво става с другите браузъри?

Може ли просто избягването на Edge да ви пази? Е, да и не.

Вътрешният PDF четец на Firefox се счита за най-сигурният; тя е написана изцяло на JavaScript и използва API-та и функционалности, които вече се използват другаде онлайн. Резултатът е, че използването на Firefox за отваряне на PDF файлове не е по-малко сигурно от обикновеното ежедневно сърфиране в Интернет.

Но дори това не направи Firefox 100% сигурен. През август 2015 г. експлоатация е открита Актуализирайте Firefox сега! Или грешка в сигурността може да открадне вашите локални файловеТрябва да запалите Firefox и да изтеглите най-новата версия веднага. Mozilla издаде критична актуализация, която коригира основен пропуск в сигурността, който може да позволи на хакерите да откраднат файлове от вашия твърд диск. Прочетете още на руски сайт за новини, който търсеше чувствителни файлове на локална машина и ги качваше на сървър в Украйна. Работи се чрез инжектиране на полезен товар в JavaScript в контекста на локалния файл.

Firefox естествено реагира с пачове за сигурност веднага, но историята доказва, че никой браузър никога няма да бъде напълно безопасен от дадена заплаха.

Chrome е по-малко защитен. Подобно на Edge, PDF четецът се реализира като двоичен модел. Тогава той е пясъчен, далеч от други части на операционната система, но този пясъчник остава основната линия на отбрана.

Трябва ли да дадем малко свобода на ръба?

Във всичко това е важно да се помни това Edge все още е на по-малко от година Microsoft получава ръба, 1 милиард устройства с Windows 10 и още... [Tech News Digest]Microsoft има Edge, Windows 10 е огромен, Secret се затваря, вграждайте MS-DOS игри в туитове, печелете пари от Silent Hills и гледайте Майкъл Бей да се показва от любителски режисьор. Прочетете още . Има много обещаващи знаци за бъдещето, но в момента това е незавършен продукт.

Нека не бъдем прекалено твърди с Edge. Беше ли перфектен Chrome при първоначалното му пускане през 2008 г.? Какво ще кажете за Firefox през 2002 г.?

Когато първият Chrome стана наличен, нямаше поддръжка за колела на мишката или отметки. Едва през четвърта версия (две години след първоначалното му издание) видяхме въвеждането на разширения. Отне също две години, за да премине теста на Acid3 - начин за тестване на съответствието на браузъра с уеб стандартите, като например Document Object Model (DOM) и JavaScript. Firefox все още не може да го подмине.

Edge щеше да бъде разпнат, ако не поддържаше отметки или колело на мишката при обща версия.

Работа в ход ...

Съвременните компютърни приложения никога не са наистина „готови“. Те са в процес на работа, които са в постоянен цикъл на актуализации и подобрения.

Edge е само девет месеца в живота си. Докато хората с анти-Edge / anti-Microsoft със сигурност ще използват този експлоатация като друга пръчка, с която да разбият браузъра, истината остава, че в много отношения изглежда много обещаващо.

Ако разширенията се реализират по-късно тази година, както се очаква, тя ще може да се конкурира с най-добрите в бизнеса.

Какво е вашето мнение за Edge и експлоатационните новини? Вие сте някой, който смята, че Edge е обречен на провал, или бихме могли да го видим да стане лидер на пазара в бъдеще? Уведомете ни в коментарите.