Источник: Politeka
В сети Microsoft Windows нашли серьезную проблему, которая мешает нормальной работе Facebook Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент. Специалист предупредил о рисках открытия Flash-контента без запроса на разрешение. Именно из-за опасности подобных самостоятельных действий в Microsoft Edge ввели правила, запрещающие автозапуск. «В Microsoft Windows есть файл C:Windowssystem32edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения пользователя загружать Flash-контент в Microsoft Edge», – сообщил Фратрик. Исследователь выявил уязвимость в ноябре прошлого года. В то время список для Windows 10 (версия 1803) состоял из хешей sha256 пятидесяти восьми доменов. Фратрику удалось расшифровать и получить названия пятидесяти шести из них. Microsoft частично исправила проблему с выходом февральских обновлений безопасности, оставив в текущей версии списка доменов, которым позволено обходить политики безопасности, только два домена Facebook (www.facebook.com и apps.facebook.com). Производитель также добавил поддержку HTTPS как обязательное требование для всех вносимых в список доменов с целью предотвращения атак «человек посередине». Почему домены шифруются и почему Facebook по-прежнему в списке – вопросы, ответ на которые знает только Microsoft. Также ранее сообщалось, что китайская база данных была обнаружена в свободном доступе. Эксперт по кибербезопасности Виктор Геверс обнаружил в сети базу данных, в которой китайские власти сохраняли информацию о миллионах жителей автономного района Синьцзян. В базу попала информация о более чем 2,6 млн. жителей автономного района. Персональная информация представляла собой фотографии, имена и данные о местоположении, идентификационные номера, домашние адреса, места работы и работодатели. В качестве главного источника данных использовались камеры наблюдения с системой распознавания лиц. По словам Геверса, за одни сутки такая система способна собрать 6,7 млн GPS-координат. Вела базу данных китайская компания SenseNets. В течение полугода база была в свободном доступе, однако после запроса в SenseNets эта уязвимость была ликвидирована. Сообщается, что подобные базы данных используются для отслеживания национальных меньшинств. В данном случае «под слежку» попали уйгуры — тюркский народ, населяющий Синьцзян-Уйгурский автономный регион КНР. Напомним, что Windows 10 выпустила новое обновление. Как сообщала Politeka, стало известно, что Windows опасен для вашего компьютера. Также Politeka писала, как Google-поиск облегчит пользователям жизнь.Источник: Politeka
В сети Microsoft Windows нашли серьезную проблему, которая мешает нормальной работе Facebook Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент. Специалист предупредил о рисках открытия Flash-контента без запроса на разрешение. Именно из-за опасности подобных самостоятельных действий в Microsoft Edge ввели правила, запрещающие автозапуск. «В Microsoft Windows есть файл C:Windowssystem32edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения пользователя загружать Flash-контент в Microsoft Edge», – сообщил Фратрик. Исследователь выявил уязвимость в ноябре прошлого года. В то время список для Windows 10 (версия 1803) состоял из хешей sha256 пятидесяти восьми доменов. Фратрику удалось расшифровать и получить названия пятидесяти шести из них. Microsoft частично исправила проблему с выходом февральских обновлений безопасности, оставив в текущей версии списка доменов, которым позволено обходить политики безопасности, только два домена Facebook (www.facebook.com и apps.facebook.com). Производитель также добавил поддержку HTTPS как обязательное требование для всех вносимых в список доменов с целью предотвращения атак «человек посередине». Почему домены шифруются и почему Facebook по-прежнему в списке – вопросы, ответ на которые знает только Microsoft. Также ранее сообщалось, что китайская база данных была обнаружена в свободном доступе. Эксперт по кибербезопасности Виктор Геверс обнаружил в сети базу данных, в которой китайские власти сохраняли информацию о миллионах жителей автономного района Синьцзян. В базу попала информация о более чем 2,6 млн. жителей автономного района. Персональная информация представляла собой фотографии, имена и данные о местоположении, идентификационные номера, домашние адреса, места работы и работодатели. В качестве главного источника данных использовались камеры наблюдения с системой распознавания лиц. По словам Геверса, за одни сутки такая система способна собрать 6,7 млн GPS-координат. Вела базу данных китайская компания SenseNets. В течение полугода база была в свободном доступе, однако после запроса в SenseNets эта уязвимость была ликвидирована. Сообщается, что подобные базы данных используются для отслеживания национальных меньшинств. В данном случае «под слежку» попали уйгуры — тюркский народ, населяющий Синьцзян-Уйгурский автономный регион КНР. Напомним, что Windows 10 выпустила новое обновление. Как сообщала Politeka, стало известно, что Windows опасен для вашего компьютера. Также Politeka писала, как Google-поиск облегчит пользователям жизнь.