Наскоро съобщихме за браузърния плъгин Torrents Time, който дава възможност за директно поточно гледане на филми в програмния прозорец на браузъра, без да се налага изтеглянето на файлове. Плъгинът за броени дни стана изключително популярен понеже дава възможност за буквално превръщане на торент-тракерите в домашни киносалони. Но специалистите по информационна безопасност считат, че той съвсем не е безопасен.
[You must be registered and logged in to see this image.]Програмистът Андрю Семпсън (Andrew Sampson) съобщи, че плъгинът е уязвим към хакерски атаки, започвайки от XSS и завършвайки с MitM. Според Семпсън, в плъгина некоректно е реализиран механизма за безопасност
CORS (Cross-Origin Resource Sharing), предотвратяващ зареждането на ресурси от сайтове на злоумишленици.
[You must be registered and logged in to see this image.]Това означава, че е възможно да се създаде уеб-страница, която имитира външния вид на сайта на плъгина, в която да бъде поставен вреден код, който ще работи в браузъра на жертвата с инсталиран плъгин Torrents Time. Може да се постави и фалшив плеър, който показва филмите, но едновременно с това инсталира малуер.
[You must be registered and logged in to see this image.]Потребителите с Mac компютри също са уязвими, понеже допълнението се стартира с root права.
Семпсън счита, че тази добавка е уязвима за изключително много атаки и уязвимости и е по-добре да се изчака появата на нова версия, в която забелязаните проблеми са отстранени.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
