Blog

  • Home
  • Blog
  • Yangiliklar
  • Internet Explorer’dagi zaiflik Windows tizimlaridan fayllarni o‘g‘irlashga imkon beradi.
Back to Blog
12Apr

Internet Explorer’dagi zaiflik Windows tizimlaridan fayllarni o‘g‘irlashga imkon beradi.

Internet Explorer’dagi zaiflik Windows tizimlaridan fayllarni o‘g‘irlashga imkon beradi.

Microsoft rejalashtirilmagan yamoqni chiqarish niyatida emas.

Xavfsizlik bo’yicha tadqiqotchi Jon Peyj Microsoft Internet Explorer 11 da Windows tizimlarida fayllarga kirish imkonini beruvchi zaiflikni oshkor qildi. Xato uchun kontseptsiya isboti kodi ham e’lon qilindi. Muammo IE MHT (MHTML Web Archive) fayllarini qanday boshqarishi bilan bog’liq. CTRL+S buyrug’ini kiritishda (veb-sahifani saqlash uchun) brauzer sahifani sukut bo’yicha ushbu formatda saqlaydi. Zamonaviy brauzerlar veb-sahifalarni standart HTML formatida saqlasalar-da, ko’pchilik hali ham MHT ni qo’llab-quvvatlaydi.

Mutaxassisning tushuntirishicha, tajovuzkor zaiflikdan foydalanib, mahalliy fayllarni ajratib olishi mumkin. Buning uchun ular foydalanuvchini aldab, MHT faylini ochishga majbur qilishlari kerak bo’ladi, bu oson, chunki bu formatdagi barcha fayllar sukut bo’yicha Internet Explorerda ochiladi. Hujumning ishlashi uchun jabrlanuvchi shunchaki elektron pochta, tezkor xabar almashish va boshqalar orqali olingan faylni ikki marta bosishi kerak.

Peyjning tushuntirishicha, zaiflik brauzerning CTRL+K, «Chop etishni oldindan ko’rish» va «Chop etish» buyruqlarini qanday ishlashi bilan bog’liq. Uning qo’shimcha qilishicha, jarayonni avtomatlashtirish va foydalanuvchilarning o’zaro ta’sirini bartaraf etish mumkin.

«Window.print() funksiyasiga oddiy chaqiruv yetarli bo’ladi va foydalanuvchining veb-sahifa bilan o’zaro ta’sirini talab qilmaydi», deb yozadi tadqiqotchi. Bundan tashqari, zararli MHT fayli yordamida IE xabarnoma tizimini o’chirib qo’yish mumkin.

Page eng so’nggi xavfsizlik yangilanishlari o’rnatilgan Windows 7, Windows 10 va Windows Server 2012 R2 tizimlarida eksploitni muvaffaqiyatli sinovdan o’tkazdi. Jarayonni namoyish etuvchi video quyida joylashtirilgan.

Mutaxassis Microsoft’ga zaiflik haqida ma’lumot berdi, ammo kompaniya rejadan tashqari yamoqni chiqarishdan bosh tortdi va muammoni “mahsulot yoki xizmatning kelajakdagi versiyasida” hal qilish niyatida ekanligini aytdi.

Share this post

Back to Blog

Related Posts

24May

Bir yildan ortiq vaqt davomida Google Chrome, Firefox va Safari fishing resurslari haqida ogohlantirmagan.

Muammo yangi mobil API-ga o'tgandan keyin paydo bo'ldi, u kutilganidek ishlamadi. Arizona shtat universiteti va PayPal tadqiqotchilari guruhi tomonidan chop... read more

kerio control
11Mar

Nima uchun MSP uchun GFI KerioControlni tanlash kerak?

GFI KerioControl - bu yangi avlod xavfsizlik devori va keng qamrovli xavfsizlik yechimini qidirayotgan kichik va o'rta biznes (SMB) uchun... read more

03Iyun

Xitoy 5G sinov natijalariga Huawei foydasiga ta’sir o’tkazishga harakat qilmoqda.

Pekin "davlat homiyligidagi" xakerlar tomonidan qo'lga kiritilgan Nokia va Ericsson mahsulotlaridagi zaifliklar haqidagi ma'lumotlarni almashishda ayblanmoqda. Xitoy Huaweini himoya... read more

26Apr

NSA xakerlik vositalari tadqiqotchini orqa eshik yaratishga ilhomlantirdi.

SMBdoor operatsion tizimning antivirus dasturlari ko'rinmaydigan joylarida yashirinadi. RiskSence kompaniyasining xavfsizlik bo'yicha tadqiqotchisi Sean Dillon 2017-yilda AQSh Milliy xavfsizlik agentligi... read more

23May

Kiberjinoyatchilar estoniyaliklarning shaxsiy guvohnomalarini qalbakilashtirishga muvaffaq bo‘lishdi

Smart-ID va Mobile-ID tizimlarining estoniyalik foydalanuvchilari fisherlar qurboniga aylandi. Estoniyada Smart-ID va Mobile-ID elektron identifikatsiya tizimlaridagi zaiflik fuqarolarning shaxsiy... read more

10Iyun

Mashhur apparat xavfsizlik modullarida zaifliklar aniqlandi

Zaifliklar masofaviy tajovuzkorga qurilma ustidan to'liq nazorat qilish imkonini beradi. Sovuq kalitli kriptovalyuta hamyonlarini ishlab chiqaruvchi Ledger kompaniyasi mutaxassislari... read more

22Iyul

Mashhur Chrome kengaytmalari 4 milliondan ortiq foydalanuvchi ma’lumotlarini sotgan

Kengaytmalar ko'rish tarixi, soliq to'lovlari, tibbiy yozuvlar, ko'rilgan fotosuratlar, shuningdek, parollar va GPS koordinatalarini to'playdi. Jami 4 million foydalanuvchilar tomonidan oʻrnatilgan... read more

18Iyun

Ulyanovsk fuqarosi qaroqchilar veb-sayti bloklanganidan keyin Roskomnadzor idorasini uch marta yoqib yuborishga uringan.

Jinoyatchining harakatlari natijasida yetkazilgan zarar taxminan 10 million rublga baholanmoqda. Ulyanovsk prokuraturasi Roskomnadzor hududiy boshqarmasini bir necha bor... read more

25Iyun

Ikki isroillik Bitfinex kriptobirjasini buzishda gumon qilinib hibsga olindi

Politsiya ma’lumotlariga ko‘ra, jinoyatchilar o‘n millionlab dollarlarni o‘g‘irlashga muvaffaq bo‘lgan. Isroil huquq-tartibot idoralari Bitfinex kriptovalyuta birjasini buzish va fishing hujumlarini... read more

09Iyul

Bankomatlardan 16 million rubl o‘g‘irlashda gumon qilingan shaxslar qo‘lga olindi.

Hujumchilar mamlakatning turli shaharlaridagi 22 bankomatning xavfsizlik tizimlarini buzib kirishdi. Huquq-tartibot idoralari xodimlari 20 dan ortiq bankomatlardan 16... read more