Hirdetés

Az SVG formátum lehet az új biztonsági mumus

|

Sajnos nincs egyszerű megoldás a képformátum sérülékenységére.

Hirdetés

Tavaly november közepén többek közt mi is beszámoltunk egy ötletes, a Facebook chaten terjedt támadásról. A különlegességét az adta, hogy a támadók egy SVG formátumú képfájlba beágyazott JavaScript kóddal képesek voltak automatikusan új fület nyitni a felhasználók böngészőiben, a Youtube-ra erősen emlékeztető oldalon pedig kártevők manuális telepítésére próbálták rábírni a netezőket. Eközben a pórul járt facebookozók ismerősei szintén megkapták a rosszindulatúan módosított SVG-t.


Hirdetés


Mint a Bleeping Computer egyik írója most kiemelte, ez a támadási forma kimondottan népszerűvé válhat majd a jövőben, részben mivel a Gmail február közepétől már nem lesz hajlandó JavaScript-fájlokat átengedni a rendszerén. A böngészők készítői persze megpróbálhatják letiltani a termékeikben az SVG-kbe ágyazott JavaScriptek automatikus (vagy akár teljes) futtatását, ez a netezők oroszlánrésze számára vélhetően soha semmilyen gyakorlati problémát sem okozna. Ettől függetlenül a lépéssel szabványtalanná válna a böngészőkbe ágyazott SVG-megjelenítő.

Hirdetés


Jelenleg nem világos, hogy a böngészőgyártók mit és mikor kívánnak lépni a felhasználók védelme érdekében. A gond elmúlásáig javarészt csak annyit tehetünk, hogy a fenti trükk ismeretében nem hagyjuk magunkat átverni.


(Nyitókép: Intel Free Press)

Hirdetés
Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.