原标题:快修补! 微软Edge浏览器有本机资料窃取漏洞
示意图,与新闻事件无关。
安全研究人员发现,微软Edge△浏览器出现可让骇客窃取本机资料的漏洞,不过微软已经修补本项漏洞。
这个漏洞是由安全公司Netsparker研究员Ziyahan△Albeniz发现。这个漏洞出在浏览器中的同源政策(Same△Origin△Policy)。所谓同源是指主机名、协议、传输埠相同。不同源的客户端脚本,像Javascript、ActionScript在没明确授权的情况下,不能读写对方客户端的资源。今日多数浏览器都会实作这个安全政策,因此浏览器不允许从https://attcker.xn--com-kb0er53oyyk908b AJAX△呼叫电脑上的file://c/your/stuff.txt档案。
但file//协议非常特殊;两个file:// URL的传输埠、主机名称和协议都一样。因此,如果浏览器未加入拉黑file://存取的规则,则使用者点选内含某个档案路径的HTML档,就可能导致电脑某个资料夹的档案被人读取、下载或执行。
这类窃取文件的最好方法是网钓邮件,骗取使用者下载及执行恶意HTML档案。Albeniz测试后证实,除了Edge之外,微软Windows△邮件(Mail)及行事历(Calendar) app也都可以执行外部传来的HTML档案。
这类网钓窃密法无法造成大规模布署,但可用以窃取公司高层或官员的机密资讯。研究人员指出,虽然攻击者需要知道目标档案的储存位置,但一般OS和app组态、储存路径大概都差不多,可以推测档案的所在地。
微软已经在七月中的每月安全更新中,修补Edge的该项漏洞。除了更新到最新版本的Edge、邮件和行事历程式外,研究人员也呼吁用户不要随意开启来路不明或奇怪的HTML档案。
相关:
程式码托管服务GitLab释出资料科学团队的解决方案Meltano,可用于处理资料的提取、载入和转换等工作。Meltano并没有与GitLab原本的服务捆绑在一起,而是成为一个单独产品,目的在于填补通用资料应用在不同部门间的鸿
Google在新加坡打造第三座资料中心,采用机器学习降低耗能
图片来源: Google Google正在积极拓展全球基础建设的建置,于7月时,才宣布将建置横跨大西洋,连接美国与法国的私有海底光纤电缆Dunant,在新加坡建立第三座资料中心,以因应东南亚地区不断成长的网络需求。根据Goog
新 iPad Pro 设计资料流出 传有 Face ID+设计似 iPhone X | 香港 UNWIRE.HK 玩生活.乐科技
早前有传闻指新的 iPad Pro 将不会有?Home 键和 Face ID 功能。而且边框会收窄,设计风格与 iPhone X 相约。最近,有网媒从 iOS 12 发现有内部程式码与图示支持部份传闻。据外媒《9to5mac》报道,在 iOS 12 develope
微软Azure支援Ansible 2.6,管理AKS资源也能用
日前红帽释出Ansible△2.6版后,加强支援公有云、私有云环境。而近日微软也宣布,现在Ansible△2.6版对Azure环境的新整合特色,在既有Azure模组中,新发布的Ansible共补强超过17个功能。微软表示,搭配Ansible△2.6版
甲骨文VirtualBox被爆易受特权提升攻击,并存在任意读写漏洞,即便使用者仅允许程式以使用者权限执行,但通过特权提升,恶意程式仍然能够存取VBoxDrv核心驱动程式。骇客通过结合编号CVE-2018-3055的资讯泄漏漏洞以及