Pagina principal Navegadores Explotación en PDF de Microsoft Edge Lo que necesita saber

Explotación en PDF de Microsoft Edge Lo que necesita saber

  • Brian Curtis
  • 0
  • 3105
  • 841
Anuncio

Al mismo tiempo que Microsoft presentó Windows 10 Make Today Your Launch Day: ¡Obtenga Windows 10 ahora! Haga de hoy su día de lanzamiento: ¡Obtenga Windows 10 ahora! Estás ansioso por instalar Windows 10. Desafortunadamente, te perdiste la vista previa de Insider y ahora está tardando un tiempo hasta que la actualización se implemente. ¡Aquí se explica cómo obtener Windows 10 ahora! , también lanzó un nuevo navegador: Microsoft Edge. Después de todos los problemas de seguridad y privacidad en torno a Internet Explorer, se suponía que era un nuevo comienzo, una pizarra limpia.

Edge ciertamente ha introducido algunas características nuevas y asombrosas 10 razones por las que debería usar Microsoft Edge ahora 10 razones por las que debería usar Microsoft Edge ahora Microsoft Edge marca una ruptura completa con la marca Internet Explorer, eliminando un árbol genealógico de 20 años el proceso. Aquí le explicamos por qué debería usarlo. . Las páginas web que se pueden anotar, la lista de lectura y el diseño elegante marcan grandes avances en comparación con su predecesor..

Por desgracia, el nuevo navegador también ha introducido nuevos problemas. El último problema para recibir atención de los medios es su explotación de PDF.

¿Pero, qué es esto? ¿Estás a salvo? ¿Y Edge es único con este tipo de problemas? Vamos a investigar.

Qué es?

El exploit gira en torno a la biblioteca de Windows Runtime PDF Renderer (WinRT PDF). El objetivo principal del software es permitir a los desarrolladores integrar fácilmente una función de visualización de PDF dentro de sus programas.

Eso significa que está presente en muchas aplicaciones de Windows (aplicaciones descargadas de la Tienda Windows) y en el software incorporado de Windows 10 Cómo deshabilitar el navegador Microsoft Edge en Windows 10 Cómo deshabilitar el navegador Microsoft Edge en Windows 10 El navegador Edge de Windows 10 No se puede quitar ni desinstalar. Sin embargo, hay una herramienta que puede usar para deshabilitarla para que nunca se inicie nunca más. . Todo, desde OneNote hasta lectores de PDF de terceros, lo utilizan. Edge lo usa como su lector de PDF predeterminado, por lo que los PDF incrustados en una página web se abrirán automáticamente en la biblioteca.

El investigador de IBM Mark Vincent Yason descubrió originalmente la falla. Descubrió que WinRT PDF se puede usar en ataques automáticos colocando código malicioso en un marco oculto en un documento PDF. Es muy similar a cómo Java y Flash fueron explotados. Así es como te piratean: el mundo turbio de los kits de explotación. Así es como te piratean: el mundo turbio de los kits de explotación. Los estafadores pueden usar suites de software para explotar vulnerabilidades y crear malware. Pero, ¿qué son estos kits de exploits? ¿De dónde vienen? ¿Y cómo se pueden detener? en el pasado.

Como funciona?

Los problemas surgen como resultado del uso de Edge de WinRT PDF.

Teóricamente, un pirata informático podría contener un exploit de WinRT PDF dentro de un archivo PDF, que podría abrirse en secreto utilizando un iframe colocado fuera de la pantalla mediante CSS. Todo lo que los posibles atacantes deben hacer es encontrar y crear una base de datos de vulnerabilidades WinRT que se pueda aprovechar para distribuir su malware.

El exploit de WinRT PDF se llevaría a cabo de la misma manera que los kits de exploits como Angler o Neutrino aprovechan las vulnerabilidades de Flash, Java y Silverlight..

Una vez que se ha ejecutado el exploit, su computadora estará expuesta a todo tipo de amenazas de seguridad; los datos personales se vuelven fáciles de robar. Las 3 personas más propensas a hackear sus datos y privacidad Las 3 personas más propensas a hackear sus datos y privacidad ¿Quiénes son las personas con más probabilidades de violar su privacidad y alterar sus datos? , y se pueden inyectar virus y malware en su máquina a voluntad del pirata informático.

¿Existen salvaguardas y está en riesgo??

A pesar de las terribles advertencias, es probable que aún no esté en riesgo. Al momento de escribir, no se han encontrado vulnerabilidades de WinRT PDF en la naturaleza.

“WinRT PDF abre una superficie de ataque adicional que puede aprovecharse para atacar el navegador Edge. Pero por ahora, explotar WinRT PDF a través de Edge es costoso debido a las mitigaciones de exploits combinadas existentes. El interés en WinRT PDF y el desarrollo de nuevas técnicas de explotación determinarán cuándo se verá en la naturaleza un exploit de unidad Edge aprovechando una vulnerabilidad de WinRT PDF.” - Mark Vincent Yason

Windows 10 usa ex “Kit de herramientas de experiencia de mitigación mejorada” (EMET) características como “Aleatorización del diseño del espacio de direcciones” (ASLR) protección y Control Flow Guard.

Estas herramientas ayudan a evitar que las vulnerabilidades en el software sean explotadas. Lo hacen mediante la introducción de protecciones especiales y obstáculos que un hacker debe superar para obtener acceso a las fallas de seguridad.

Estas protecciones hacen que la explotación de la vulnerabilidad del lector de PDF WinRT sea un asunto costoso y que lleve mucho tiempo, y es probablemente la razón por la que todavía no hemos visto uno de estos exploits en la naturaleza.

En resumen: no se asuste, pero esté atento.

¿Qué pasa con otros navegadores??

¿Podría simplemente evitar que Edge te mantenga a salvo? Bueno si y no.

El lector de PDF interno de Firefox es ampliamente considerado como el más seguro; está escrito completamente en JavaScript y hace uso de API y funcionalidades que ya se utilizan en línea en otros lugares. El resultado es que usar Firefox para abrir archivos PDF no es menos seguro que la navegación diaria por Internet.

Pero incluso eso no ha hecho que Firefox sea 100 por ciento seguro. En agosto de 2015, se descubrió un exploit ¡Actualiza Firefox ahora! O una falla de seguridad puede robar sus archivos locales ¡Actualice Firefox ahora! O una falla de seguridad puede robar sus archivos locales. Necesita encender Firefox y descargar la última versión ahora mismo. Mozilla ha publicado una actualización crítica que corrige una falla de seguridad importante, que podría permitir a los piratas informáticos robar archivos de su disco duro. en un sitio de noticias ruso que buscó archivos confidenciales en una máquina local y los cargó en un servidor en Ucrania. Funcionó inyectando una carga útil de JavaScript en el contexto del archivo local.

Firefox naturalmente respondió de inmediato con parches de seguridad, pero la historia demuestra que ningún navegador estará completamente a salvo de una amenaza determinada..

Chrome es menos seguro. Al igual que Edge, el lector de PDF se implementa como un modelo binario. Luego se guarda en un lugar aislado de otras partes del sistema operativo, pero ese espacio sigue siendo la principal línea de defensa.

¿Deberíamos darle ventaja a algunos??

En todo esto, es importante recordar que Edge tiene menos de un año. Microsoft Gets the Edge, 1 mil millones de dispositivos con Windows 10, y más ... [Tech News Digest] Microsoft Gets the Edge, 1 mil millones de dispositivos con Windows 10 , Y más ... [Resumen de noticias de tecnología] Microsoft tiene la ventaja, Windows 10 es enorme, Secret se cierra, incrusta juegos de MS-DOS en tweets, gana dinero con Silent Hills y mira a Michael Bay aparecer por un cineasta aficionado. . Hay muchas señales prometedoras para el futuro, pero en la actualidad es un producto inacabado..

No seamos demasiado duros con Edge. ¿Chrome fue perfecto en su lanzamiento inicial en 2008? ¿Qué tal Firefox en 2002??

Cuando Chrome estuvo disponible por primera vez, no había soporte para ruedas de mouse o marcadores. No fue hasta la versión cuatro (dos años después de su lanzamiento inicial) que vimos la introducción de extensiones. También tardó dos años en pasar la prueba Acid3, una forma de probar el cumplimiento de un navegador con los estándares web como el Modelo de objetos de documento (DOM) y JavaScript. Firefox todavía no puede pasarlo.

Edge habría sido crucificado si no fuera compatible con marcadores o desplazamiento de la rueda del mouse en el lanzamiento general.

Un trabajo en progreso…

Las aplicaciones informáticas modernas nunca son verdaderamente “terminado”. Son trabajos en progreso que están en un ciclo constante de actualizaciones y mejoras..

Edge tiene solo nueve meses de vida. Si bien las personas anti-Edge / anti-Microsoft seguramente usarán este exploit como otro palo para golpear el navegador, la verdad es que en muchos aspectos parece muy prometedor.

Si las extensiones se concretan a finales de este año como se esperaba, podrá competir con los mejores del negocio..

¿Cuál es tu opinión sobre Edge y las noticias de explotación? ¿Eres alguien que piensa que Edge está condenado al fracaso o podríamos verlo convertirse en el líder del mercado en el futuro? Háganos saber en los comentarios.




Nadie ha comentado sobre este artículo todavía.

Novedades en Prime Video del 10 de febrero Cloverfield Lane, The Americans y más
Entretenimiento
¿Qué hay de nuevo en Hulu en febrero? Golden Girls, Taken y más
Entretenimiento
Cómo ver sus canales de noticias locales en línea
Entretenimiento
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.