Google запуши мистериозен zero-day в Chrome, нова функционалност предизвика притеснения

Последен ъпдейт на 4 май 2020 в 12:00 ч.

Google публикува спешен ъпдейт на браузъра си Chrome, в който са запушени 3 уязвимости. За съжаление, едната от тях е т.нар. zero-day – т.е. уязвимост, за която вече има публикувани експлойти. Става въпрос за CVE-2020-6418. Уязвимостта е запушена във версия 80.0.3987.122 на браузъра.

Междувременно, една от новите функционалности – т.нар. deeplinking – предизвика полемика сред специалистите по киберсигурност. Благодарение на нея, всеки потребител може да създаде линк до конкретна част (например, изречение) от уебсайт – без тази възможност да е предвидена от разработчика на самия сайт. Линкът прилична на това: https://en.wikipedia.org/wiki/Cat#:~:text=On islands

Тази възможност, обаче може да се използва с негативни цели. Например: да се търсят конкретни лични данни (например – ЕГН) в редица сайтове, в които има лични данни. По този начин може да се скрапва по-лесно информация и лични данни за потребители, както и да се експлоатират по-лесно различни уязвимости. Представете си, как добавят #:~:text=ЕГН към хиляди домейни и подстраниците им и лесно проверявате дали в тях съществува тази дума, например.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.