Четверг, 1 октября, 03:32
дома безопасность API-интерфейс Kaspersky открыт для злоупотреблений веб-сайтами

API-интерфейс Kaspersky открыт для злоупотреблений веб-сайтами

Из-за уязвимостей в программном обеспечении Kaspersky веб-мастера открывали возможность злоупотребления внутренним API-интерфейсом, и пока исправления не увенчались успехом.

В понедельник разработчик программного обеспечения Владимир Палант задокументировал миф, который начался после того, как он начал исследовать функции Kaspersky Web Protection, включенные в программное обеспечение такие как Kaspersky Internet Security 2019. Функциональность онлайн-защиты включает в себя сканирование результатов поиска для устранения потенциально вредоносных ссылок и мониторинга предотвращения.

В декабре прошлого года разработчик нашел набор уязвимости и проблемы безопасности в режиме веб-защиты, который может быть активирован любым веб-сайтом.

Kaspersky

Web Protection должен иметь возможность взаимодействовать с основным приложением Kaspersky и значением секретного значения, которое в теории неизвестно веб-домены и имеет возможность обеспечить безопасность коммуникации. Однако, по мнению Palant, уязвимость системы безопасности позволяла сайтам «довольно легко» извлекать этот ключ и «позволяла им устанавливать соединение с приложением Kaspersky и отправлять команды точно так же, как это сделала бы Web Protection».

Расширения Chrome и Firefox используют собственные сообщения для получения подписи, в то время как Internet Explorer читает инъекции скриптов. Не расширяя браузер, Kaspersky будет вставлять свои скрипты прямо на веб-сайт, и вот первая уязвимость CVE-2019-15685 в результате злоупотребления URL Advisor и кадры, чтобы извлечь подпись.

«Веб-сайты могут использовать эту уязвимость, например, для бесшумного отключения функции защиты. adblocking и отслеживание », говорит разработчик. «Они могли бы также сделать много вещей, где влияние не было столь очевидным».

После сообщения об ошибке в июле Kaspersky разработал решение для 2019, блокирующее доступ к определенным функциям на веб-сайтах продуктов 2020. Тем не менее, другие команды могут быть приняты, такие как веб-сайты белого списка в adblockers (CVE-2019-15686). Новая проблема также возникла из-за сбоя заплата: сайты имели доступ к данные системы пользователя, включая уникальные идентификаторы установки компьютера Касперского (CVE-2019-15687).

Это неожиданное введение данные это был не конец истории. Палант говорит, что в патче также появилась новая уязвимость, которая может быть использована для сбоя процесса. антивирусоставляя системы уязвимыми для вторжений, таких как CVE-2019-15686.

Затем фирма по кибербезопасности попыталась исправить ситуацию, решив проблему утечки данных и «главным образом» решив проблему сбоев. сайты больше не могут вызывать "сбой", но расширения браузер или локальные приложения, вероятно, могли бы.

Новый патч был разработан и будет выпущен в ноябре 28, но с подходом резервного копирования «инъекция сценария» вместо того, чтобы полагаться исключительно на расширения браузер, при этом у разработчика не было особой надежды на то, что проблема будет решена.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Как добавить заметки на домашний экран iPhone

Помните дни, когда вы добавляли стикеры на рабочий стол Windows? Что ж, теперь можно добавлять липкие ...

Ошибка сети Vodafone: обнаружены проблемы с подключением!

Ошибка сети Vodafone: обнаружены проблемы с подключением! Vodafone уже некоторое время испытывает проблемы с интернетом и телефонной связью (интернет-телефоном). По мнению пользователей ...

По мере того, как технологии достигают своего EOL, хакеры ждут

Недавняя вспышка кибератак на сайты интернет-торговли с использованием Magento 1 подчеркивает важность наличия стратегии ...

Mac: как экспортировать высококачественные значки из системных настроек

Иногда вам нужен высококачественный значок из системных настроек Mac для проекта, но вы не можете его найти ...

Тест на COVID-19: утверждение в Европе результатов за 15 минут!

Тест на обнаружение вируса Covid-19, который дает результаты через 15 минут, получил зеленый свет на утилизацию в ...

Gmail: как добавить подпись к письмам

Google Gmail поддерживает настраиваемые подписи, которые прикрепляются к каждому отправляемому вами электронному письму. Вы можете добавить свое имя, ...

Шпионская кампания нацелена на индийскую армию!

Следователи обнаружили доказательства продолжающейся шпионской кампании, направленной против вооруженных сил Индии (обороны и вооруженных сил), ...

Baidu: вредоносное всплывающее окно перенаправляет трафик

Вредоносные всплывающие окна перенаправляют трафик веб-сайта технологической компании Baidu на домен злоумышленника. Злой ...

Хакера LinkedIn Никулина приговорили к 7 годам тюрьмы

Во вторник американский судья приговорил Евгения Никулина к семи годам лишения свободы, положив конец международно-правовой драме ...

Inova Health: еще одна жертва взлома Blackbaud

Inova Health Systems разослала своим пациентам письма, чтобы сообщить им о кибератаке, которая возможна ...