Google запуши мистериозен zero-day в Chrome, нова функционалност предизвика притеснения

Последен ъпдейт на 4 май 2020 в 12:00 ч.

Google публикува спешен ъпдейт на браузъра си Chrome, в който са запушени 3 уязвимости. За съжаление, едната от тях е т.нар. zero-day – т.е. уязвимост, за която вече има публикувани експлойти. Става въпрос за CVE-2020-6418. Уязвимостта е запушена във версия 80.0.3987.122 на браузъра.

[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/02/25/mystery-zero-day-in-chrome-update-now/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

Междувременно, една от новите функционалности – т.нар. deeplinking – предизвика полемика сред специалистите по киберсигурност. Благодарение на нея, всеки потребител може да създаде линк до конкретна част (например, изречение) от уебсайт – без тази възможност да е предвидена от разработчика на самия сайт. Линкът прилична на това: https://en.wikipedia.org/wiki/Cat#:~:text=On islands

Тази възможност, обаче може да се използва с негативни цели. Например: да се търсят конкретни лични данни (например – ЕГН) в редица сайтове, в които има лични данни. По този начин може да се скрапва по-лесно информация и лични данни за потребители, както и да се експлоатират по-лесно различни уязвимости. Представете си, как добавят #:~:text=ЕГН към хиляди домейни и подстраниците им и лесно проверявате дали в тях съществува тази дума, например.

[button color=“green“ size=“big“ link=“https://www.forbes.com/sites/gordonkelly/2020/02/23/google-chrome-80-upgrade-deep-linking-update-chrome-browser/#26b75830219c“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.