在Microsoft推出Windows 10的同时,它还启动了新的浏览器– Microsoft Edge。在围绕Internet Explorer解决了所有安全性和隐私问题之后,这应该是一个全新的开始,一个崭新的台阶。
Edge肯定引入了一些很棒的新功能。与以前的版本相比,带注释的网页,阅读列表和时尚的设计都标志着巨大的飞跃。
可惜,新的浏览器还引入了新的问题。受到媒体关注的最新问题是其PDF漏洞利用。
但这是什么?你安全吗? Edge在这些类型的问题上是否独特?我们来研究一下。
这是什么?
该漏洞利用程序围绕Windows Runtime PDF Renderer库(WinRT PDF)展开。该软件的主要目的是使开发人员能够轻松地在其程序中集成PDF查看功能。
这意味着该功能存在于许多Windows应用程序(从Windows应用商店下载的应用程序)中,并且可以进行烘烤处理,在Windows 10软件中。从OneNote到第三方PDF阅读器,一切都可以使用它。 Edge使用它作为默认的PDF阅读器,因此嵌入在网页中的PDF会自动在库中打开。
IBM研究人员Mark Vincent Yason最初发现了该缺陷。他发现,通过将恶意代码放在PDF文档的隐藏框架中,WinRT PDF可以用于偷渡攻击。这与过去利用Java和Flash的方式非常相似。
它如何工作?
由于Edge使用WinRT PDF而出现问题。
从理论上讲,黑客可能会将WinRT PDF漏洞包含在PDF文件中,该漏洞可使用CSS在屏幕外放置的iframe秘密打开。潜在的攻击者所需要做的就是找到并创建WinRT漏洞数据库,该数据库可用于分发恶意软件。
WinRT PDF漏洞最终将以与Angler等漏洞利用工具包相同的方式执行或Neutrino充分利用Flash,Java和Silverlight漏洞。
一旦执行了利用漏洞,您的计算机将面临各种安全威胁;这将给您带来威胁。个人数据变得容易被窃取,并且病毒和恶意软件可以在黑客一时兴起的情况下注入到您的计算机中。
是否有安全措施,您是否有风险?
警告,您可能尚未处于危险之中。在撰写本文时,还没有在野外发现WinRT PDF漏洞。
“ WinRT PDF打开了一个额外的攻击面,可用于攻击Edge浏览器。但是就目前而言,由于结合了各种漏洞利用缓解措施,因此通过Edge利用WinRT PDF的成本很高。对WinRT PDF的兴趣以及对新漏洞利用技术的开发将决定何时可以在野外看到利用WinRT PDF漏洞的Edge drive-by漏洞。" — Mark Vincent Yason
Windows 10使用以前的“ Enhanced缓解经验工具包(EMET)功能,例如“地址空间布局随机化"(ASLR)保护和控制流防护。
这些工具有助于防止利用软件中的漏洞。为此,他们引入了特殊的保护措施和黑客要获得安全漏洞所必须克服的障碍。
这些保护措施使利用WinRT PDF Reader漏洞成为一项既费时又昂贵的事情,并且
简而言之–不要惊慌,但要保持警惕。
其他浏览器怎么样?
可以简单地避免使用Edge来确保您的安全吗?嗯,是的,不是。
Firefox的内部PDF阅读器被广泛认为是最安全的。它完全用JavaScript编写,并利用了在线其他地方已经使用的API和功能。结果是使用Firefox打开PDF并不比常规的日常Internet浏览安全。
但是即使那样也不能使Firefox 100%安全。 2015年8月,在俄罗斯新闻网站上发现了一个漏洞,该漏洞在本地计算机上搜索敏感文件,并将其上传到乌克兰的服务器上。
Firefox自然会立即对安全补丁进行响应,但事实证明,任何浏览器都无法完全免受任何给定的威胁。
p> Chrome安全性较低。与Edge一样,PDF阅读器也被实现为二进制模型。然后将其从操作系统的其他部分移出沙盒-但沙盒仍然是防御的主要防线。
我们应该给边缘一些余地吗?
重要的是要记住Edge还不到一岁。未来有很多可喜的迹象,但目前它还没有完成。
在Edge上不要太难。 Chrome在2008年首次发布时是否完美?怎么样?2002年的Firefox呢?
Chrome首次面世时,不支持鼠标滚轮或书签。直到第4版(首次发布后的第二年)我们才看到扩展的引入。通过Acid3测试还花费了两年时间,该测试是一种测试浏览器是否符合Web标准(例如文档对象模型(DOM)和JavaScript)的方法。 Firefox仍然无法通过它。
如果在一般发行版中不支持书签或鼠标滚轮,Edge将会被钉在十字架上。
正在进行中的工作……
现代计算应用程序从未真正“完成"。它们正在进行中,并且不断进行更新和改进。
Edge的生命周期只有九个月。虽然反边缘/反微软人士肯定会将此漏洞利用作为打击浏览器的另一个手段,但事实仍然是,从许多方面来看,它看起来都非常有前途。
如果扩展后来得以实现
您对Edge和漏洞利用新闻有何看法?您是认为Edge注定要失败的人吗,还是我们可以看到它将来成为市场的领导者?在评论中让我们知道。
标签: 计算机安全 Microsoft Edge PDF