Les pdf de pointe microsoft exploitent: ce que vous devez savoir
En même temps que Microsoft a introduit de Windows 10
Contenu
Edge a certainement présenté quelques-uns caractéristiques impressionnantes nouvelles. Les pages Web annotés, la liste de lecture, et le design élégant marque tous les grands bonds en avant par rapport à son prédécesseur.
Hélas, le nouveau navigateur a également introduit de nouveaux problèmes. Le dernier numéro à retenir l`attention des médias est le PDF exploit.
Mais qu`est-ce que c`est? Es-tu en sécurité? Et est bord unique avec ces types de problèmes? Penchons-nous.
Qu`Est-ce que c`est?
L`exploit tourne autour de la bibliothèque de Windows Runtime PDF Renderer (WinRT PDF). Le but principal du logiciel est de permettre aux développeurs d`intégrer facilement une fonctionnalité de visualisation de PDF dans leurs programmes.
Cela signifie qu`il est présent dans beaucoup de Windows Apps (applications téléchargées sur le Windows Store) et cuit au four dans le logiciel Windows 10. Tout de OneNote aux lecteurs PDF tiers font usage. Bord utilise comme son lecteur PDF par défaut, si les fichiers PDF intégrés dans une page Web seront automatiquement ouverts dans la bibliothèque.Comment désactiver le navigateur Microsoft Edge dans Windows 10Comment désactiver le navigateur Microsoft Edge dans Windows 10navigateur Edge Windows 10 ne peut pas être supprimé ou désinstallée. Cependant, il y a un outil que vous pouvez utiliser pour le désactiver il lance jamais à nouveau.Lire la suite
IBM chercheur Mark Vincent Yason a découvert l`origine de la faille. Il a découvert que PDF WinRT peut être utilisé dans les attaques d`entraînement par le code malveillant en mettant dans un cadre caché dans un document PDF. Il est très similaire à la façon Java et Flash ont été exploités autrefois.Voilà comment ils vous Hack: Le Murky World of Exploit KitsVoilà comment ils vous Hack: Le Murky World of Exploit KitsScammers peuvent utiliser des suites logicielles pour exploiter les vulnérabilités et créer des logiciels malveillants. Mais quels sont ces kits exploitent? D`où viennent-ils? Et comment peuvent-ils être arrêtés?Lire la suite
Comment ça marche?
Les problèmes se posent à la suite de l`utilisation de Edge of WinRT PDF.
En théorie, un pirate pourrait contenir un PDF WinRT exploiter dans un fichier PDF, ce qui pourrait être secrètement ouvert à l`aide d`un iframe placé hors écran par CSS. Tous les attaquants doivent faire est de trouver et de créer une base de données de vulnérabilités WinRT qui peuvent être mises à profit pour distribuer leurs programmes malveillants.
Le PDF WinRT serait finalement exploit réalisé de la même manière qui exploitent des kits comme pêcheur à la ligne ou Neutrino profiter de Flash, Java et vulnérabilités Silverlight.
Une fois que l`exploit a été exécuté, votre ordinateur sera exposé à toutes sortes de sécurité threats- données personnelles devient facile de voler, et les virus et les logiciels malveillants peuvent être injectés sur votre machine au gré du pirate.Les 3 personnes les plus susceptibles de pirater vos données & IntimitéLes 3 personnes les plus susceptibles de pirater vos données & IntimitéQui sont les personnes les plus susceptibles de violer votre vie privée et altérer vos données?Lire la suite
Y at-il des garanties et que vous êtes à risque?
Malgré les avertissements terribles, vous n`êtes probablement pas à risque - encore. Au moment de l`écriture, aucun exploit PDF WinRT ont été trouvés dans la nature.
« WinRT PDF ouvre une surface d`attaque supplémentaire qui peut être mis à profit pour attaquer le navigateur Edge. Mais pour l`instant, l`exploitation PDF WinRT via Edge est coûteux en raison des combinés exploiter atténuations en place. L`intérêt pour WinRT PDF et le développement de nouvelles techniques d`exploitation détermineront quand un bord d`entraînement par exploit tirant parti d`une vulnérabilité PDF WinRT on le verra dans la nature « . - Mark Vincent Yason
Windows 10 utilise anciens « Toolkit Enhanced Mitigation Experience » (EMET) des fonctionnalités telles que « Address Space Layout Randomization » (ASLR) protection et du contrôle de la Garde flux.
Ces outils aident à prévenir les vulnérabilités des logiciels d`être exploités. Ils le font en introduisant des protections spéciales et obstacles qu`un pirate doit surmonter si elles doivent avoir accès aux failles de sécurité.
Ces protections font exploiter la vulnérabilité du lecteur PDF WinRT une affaire de temps et coûteuse, et est sans doute la raison pour laquelle nous sommes encore à voir un de ces exploits dans la nature.
En bref - ne paniquez pas, mais soyez vigilant.
Quid des autres navigateurs?
Pourrait éviter tout simplement bord vous garder en sécurité? Eh bien, oui et non.
lecteur PDF interne de Firefox est largement considéré comme le plus secure- il est entièrement écrit en javascript et utilise des API et des fonctionnalités qui sont déjà utilisées ailleurs en ligne. Le résultat utilise Firefox pour ouvrir les fichiers PDF n`est pas moins sûr que régulier au jour le jour la navigation sur Internet.
Mais même cela n`a pas fait de Firefox à 100 pour cent sûr. En Août 2015, un exploit a été découvert sur un site de nouvelles russe qui recherche pour les fichiers sensibles sur une machine locale et les téléchargé sur un serveur en Ukraine. En a injecter une charge utile javascript dans le contexte de fichiers local.Mettre à jour Firefox maintenant! Ou une faille de sécurité peut-il voler vos fichiers locauxMettre à jour Firefox maintenant! Ou une faille de sécurité peut-il voler vos fichiers locauxVous devez tirer Firefox et télécharger la dernière version en ce moment. Mozilla a publié une mise à jour critique qui corrige une faille de sécurité majeure, ce qui pourrait permettre à des pirates de voler des fichiers de votre disque dur.Lire la suite
Firefox a répondu naturellement avec les correctifs de sécurité immédiatement - mais l`histoire prouve qu`aucun navigateur ne sera jamais tout à fait à l`abri de toute menace donnée.
Chrome est moins sûr. Comme Edge, le lecteur PDF est implémenté comme un modèle binaire. Il est alors sandbox loin des autres parties du système d`exploitation - mais sandboxing reste la principale ligne de défense.
Devons-nous Edge de donner des marges de manœuvre?
Dans tout cela, il est important de se rappeler que Edge est encore moins d`un an. Il y a beaucoup de signes prometteurs pour l`avenir, mais à l`heure actuelle, il est un produit non fini.Microsoft obtient Edge, 1 milliard d`appareils fonctionnant sous Windows 10, & Plus ... [Tech Digest Nouvelles]Microsoft obtient Edge, 1 milliard d`appareils fonctionnant sous Windows 10, & Plus ... [Tech Digest Nouvelles]Microsoft a l`avantage, Windows 10 est énorme, secret se ferme, incorporez jeux MS-DOS dans les tweets, de faire de l`argent Silencieuse Hills, et de regarder Michael Bay se montre par un cinéaste amateur.Lire la suite
Ne soyons pas trop dur sur le bord. Chrome était parfait lors de sa sortie initiale en 2008? Que diriez-vous de Firefox en 2002?
Lorsque Chrome est devenu disponible il n`y avait pas de support pour les roues de la souris ou les signets. Il a fallu attendre la version quatre (deux ans après sa sortie initiale) que nous avons vu l`introduction d`extensions. Il a également fallu deux ans pour passer le test Acid3 - une façon de tester la conformité d`un navigateur avec les standards du Web comme le modèle objet de document (DOM) et javascript. Firefox ne peut toujours pas passer.
Bord aurait été crucifié si elle ne prend pas en charge les signets ou le défilement de la molette de la souris lors de la libération générale.
Un travail en cours…
des applications informatiques modernes ne sont jamais vraiment « fini ». Ils sont des travaux en cours qui sont sur un cycle constant des mises à jour et améliorations.
Edge est seulement neuf mois dans sa vie. Bien que anti-bord / les anti-Microsoft va sûrement utiliser cet exploit comme un autre bâton pour frapper le navigateur, la vérité reste qu`à bien des égards, il est à la recherche très prometteur.
Si les extensions se concrétiser plus tard cette année comme prévu, il sera en mesure de rivaliser avec les meilleurs dans l`entreprise.
Que pensez-vous de Edge et l`exploitation des nouvelles? Êtes-vous quelqu`un qui pense Edge est vouée à l`échec, ou pourrait-on le voir devenir le leader du marché dans l`avenir? Faites le nous savoir dans les commentaires.