Microsoft отказалась исправлять уязвимость нулевого дня в Internet Explorer
В пятницу 12 апреля специалист по информационной безопасности Джон Пейдж опубликовал информацию о неисправленной уязвимости в актуальной версии Internet Explorer, а также продемонстрировал её реализацию. Данная уязвимость потенциально может позволить злоумышленнику получить содержимое локальных файлов пользователей систем Windows, минуя систему безопасности браузера.
читать дальше
Уязвимость заключается в том, как Internet Explorer обрабатывает файлы в формате MHTML, как правило, имеющих расширение .mht или .mhtml. Данный формат используется в Internet Explorer по умолчанию для сохранения веб-страниц, и позволяет сохранить всё содержимое страницы вместе со всем медиа-контентом в виде единственного файла. На данный момент большинство современных браузеров больше не сохраняют веб-страницы в формате MHT и используют для этого стандартный для WEB формат — HTML, однако они всё ещё поддерживают обработку файлов в данном формате, а также могут использовать его для сохранения при соответствующих настройках или при помощи расширений.
Уязвимость, обнаруженная Джоном, относится к классу XXE (XML eXternal Entity) уязвимостей и заключается в неправильной конфигурации обработчика XML-кода в Internet Explorer. «Эта уязвимость позволяет удалённому злоумышленнику получить доступ к локальным файлам пользователя и, например, извлечь информацию о версии установленного в системе программного обеспечения», — рассказывает Пейдж. «Так, запрос для 'c:\Python27\NEWS.txt' вернёт версию этой программы (интерпретатора Python в данном случае)».
Так как в Windows все файлы MHT по умолчанию открываются в Internet Explorer, использование этой уязвимости является тривиальной задачей, поскольку пользователю нужно всего лишь дважды щёлкнуть по опасному файлу, полученному им по электронной почте, в социальных сетях или мессенджерах.
«Как правило, при создании экземпляра объекта ActiveX, таких, как Microsoft.XMLHTTP, пользователь получает предупреждение системы безопасности в Internet Explorer, которое запросит подтверждение на активацию заблокированного содержимого», — объясняет исследователь. «Однако при открытии заранее подготовленного файла .mht с использованием специально оформленных тегов разметки <xml> пользователь не получит предупреждения о потенциально опасном содержимом».
По словам Пейджа, он успешно протестировал уязвимость в актуальной версии браузера Internet Explorer 11 со всеми последними обновлениями безопасности в системах Windows 7, Windows 10 и Windows Server 2012 R2.
Вероятно, единственной хорошей новостью в раскрытии данной уязвимости для общественности является тот факт, что некогда доминирующая рыночная доля Internet Explorer в настоящее время сократилась до каких-то 7,34 %, согласно ............... Но поскольку Windows использует Internet Explorer в качестве приложения по умолчанию для открытия файлов MHT, пользователям не обязательно устанавливать IE в качестве браузера по умолчанию, и они по-прежнему уязвимы, пока IE всё ещё присутствует в их системах, а они не уделяют внимание формату скачиваемых в интернете файлов.
Ещё 27 марта Джон уведомил Microsoft об этой уязвимости в их браузере, но 10 апреля исследователь получил от компании ответ, где она обозначила, что не считает данную проблему критически важной.
«Исправление будет выпущено только со следующей версией продукта», — говорится в письме Microsoft. «В настоящее время мы не планируем выпускать решение для данной проблемы».
После однозначной реакции Microsoft исследователь опубликовал подробности об уязвимости нулевого дня на своём сайте, а также демонстрационный код и видео на YouTube.
Хотя реализация данной уязвимости не так проста и требует каким-либо образом вынудить пользователя запустить неизвестный файл в формате MHT, эту уязвимость не следует воспринимать легкомысленно, несмотря на отсутствие реакции со стороны Microsoft. Группировки хакеров уже использовали файлы MHT для фишинга и распространения вредоносных программ в прошлом, ничто не помешает заняться им этим и сейчас.
Впрочем, для того, чтобы избежать данной и многих похожих уязвимостей, достаточно просто обращать внимание на расширение файлов, которые вы получаете из сети Интернет, и проверять их антивирусом или же на сайте VirusTotal. А для дополнительной подстраховки просто назначьте для файлов .mht или .mhtml стандартным приложением свой любимый браузер, отличный от Internet Explorer. Например, в windows 10 это делается достаточно легко в меню «Выбор стандартных приложений для типов файлов».
Компания Microsoft опубликовала руководство по усилению защиты Windows 10
Компания Microsoft опубликовала проект нового «фреймворка настроек безопасности», призванного помочь пользователям усилить защиту устройств на базе Windows 10. В руководстве под названием SECCON описаны пять уровней конфигураций безопасности по аналогии с DEFCON - шкалой готовности вооруженных сил США.
читать дальше
В прошлом мы оставляли настройку безопасности Windows 10 на усмотрение пользователей и в итоге получили столько же конфигураций, сколько существует пользователей […] Мы спросили себя: если нам ничего не известно о вашей среде, какие практики безопасности и настройки мы могли бы порекомендовать для внедрения в первую очередь?», - пояснил старший программный менеджер Microsoft Крис Джексон (Chris Jackson).
По его словам, новый фреймворк упрощает настройку безопасности, в то же время «предоставляя достаточно гибкости для баланса защиты, производительности и пользовательского взаимодействия».
Компания предлагает следующие рекомендации:
Уровень 5. Enterprise security (Корпоративная безопасность) – минимальный уровень настройки безопасности корпоративных устройств.
Уровень 4. Enterprise high security (Высокий уровень корпоративной безопасности) – рекомендуется для устройств, хранящих конфиденциальную информацию.
Уровень 3. Enterprise VIP security (Корпоративная безопасность уровня VIP) – рекомендуется для устройств организаций с большими командами безопасности либо для пользователей, находящихся в группе высокого риска.
Уровень 2. DevOps workstation (Рабочая станция DevOps) – рекомендуется для разработчиков и тестировщиков, находящихся в зоне риска атак, преследующих цель доступа к серверам и системам, содержащим ценные данные или связанные с важными бизнес-операциями. Рекомендации еще дополняются.
Уровень 1. Administrator workstation (Рабочая станция администратора) – в настоящее время рекомендации находятся на стадии разработки.
AMD Navi: анонс на E3 2019 в середине июня, а выход — 7 июля
Некоторое время назад появились слухи, что помимо настольных процессоров Ryzen 3000, компания AMD представит в рамках выставки Computex 2019 ещё и новые видеокарты на графических процессорах Navi. Теперь же ресурс TweakTown пишет, что на самом деле анонс новых видеокарт Radeon на базе Navi состоится несколько позже, а именно в рамках выставки E3 2019.
читать дальше
Игровая выставка E3 пройдёт в этом году с 12 по 14 июня в Лос-Анджелесе. Данная выставка выглядит как идеальное место для презентации самых интересных видеокарт Radeon за последние годы, поскольку E3 полностью посвящена играм. И анонсировав новые видеокарты здесь, компания AMD привлечёт к себе очень много внимания, ведь помимо самих видеокарт, это также будет презентация архитектуры Navi, которая будет применена в игровых консолях Xbox и PlayStation нового поколения.
По последней неофициальной информации, компания AMD выпустит, то есть начнёт продажи своих видеокарт на 7-нм графических процессорах Navi, уже 7 июля (07.07). Вместе с ними может состояться и запуск 7-нм центральных процессоров AMD Ryzen 3000. Ранее слухи указывали на несколько иные даты, и что GPU и CPU выйдут в разное время. Однако теперь сообщается, что AMD постарается максимально использовать цифру «семь» в ближайшее время для того, чтобы подчеркнуть использование 7-нм техпроцесса и напомнить о технологическом превосходстве над конкурентами. Так что седьмое июля может стать весьма символичной датой для запуска новых продуктов компании.
Также источник делится некоторой информацией относительно производительности будущих видеокарт Radeon. Как и сообщалось ранее, AMD не планирует бороться с NVIDIA в самом верхнем ценовом сегменте. Вместо этого самая старшая из грядущих видеокарт поколения Navi сможет уверенно обойти Radeon RX Vega 64 и вплотную приблизиться к GeForce RTX 2080. Но при этом, чтобы получить успех у покупателей, она должна стоить ощутимо меньше конкурента. А вот спустя какое-то время компания AMD может предложить и более производительные видеокарты на более мощных GPU Navi и уже с ними сможет вернуть конкуренцию в верхний ценовой сегмент.