События

В браузере Samsung Internet Browser обнаружена опасная уязвимость

В браузере Samsung Internet Browser обнаружена опасная уязвимость

В браузере Samsung Internet Browser, предустановленном на сотнях миллионов Android-устройств от Samsung, обнаружена опасная уязвимость, позволяющая похитить пароли и файлы cookie при посещении сайта, контролируемого злоумышленником.

Обнаруженная исследователем безопасности Дхираем Мишрой (Dhiraj Mishra) уязвимость CVE-2017-17692 позволяет обойти политику единого происхождения (Same Origin Policy, SOP). Уязвимость затрагивает версию Samsung Internet Browser 5.4.02.3 и более ранние.

Политика единого происхождения является функцией безопасности, применяемой в современных браузерах, которая позволяет взаимодействовать с web-страницами с одного и того же сайта и вместе с тем предотвращать вмешательство не связанных друг с другом ресурсов.

Проблема позволяет злоумышленнику похитить данные, такие как пароли или файлы cookie, с сайтов, открытых жертвой на других вкладках.

Как пояснили исследователи безопасности из компании Rapid7, когда браузер Samsung открывает новую вкладку в одном домене с помощью скрипта Javascript, то данный скрипт может перезаписать содержимое страницы. Таким образом скрипт может нарушить SOP, выполнив действия с одного сайта (контролируемого злоумышленником) в контексте другого ресурса (атакуемого). По сути, преступник может внедрить произвольный скрипт Javascript в любой домен, если жертва посетит контролируемую им web-страницу.

Помимо этого, атакующие могут даже скопировать файлы cookie сессии или перехватить сессию, а также прочитать электронную почту и написать письмо от имени пользователя.

Исследователь уведомил Samsung об уязвимости. В свою очередь, компания ответила, что «патч предварительно загружен в смартфоны модели Galaxy Note 8, а приложение будет обновлено через официальный магазин приложений в октябре».

Мишра опубликовал эксплоит для данной уязвимости, а также обнародовал видео с демонстрацией атаки

Источник

Автор: Сергей Куприянов
29.12.2017 (20:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.