一天的浏览器缺陷使黑客在游戏

一天的浏览器缺陷使黑客在游戏
一位知名黑客已经储存了浏览器漏洞,并计划在7月份每天发布一个漏洞,以突出影响世界上最广泛使用的Web浏览器的漏洞类型。

HDMooreMetasploitFramework的联合创始人,推出了一个名为MoBB(月浏览器漏洞)的新项目,每天发布的概念验证代码,用于解决InternetExplorer,Firefox,Safari,Opera和Konqueror中的漏洞。

“我们将在7月的整个月内每天发布一个新的浏览器黑客。我们发布的黑客经过精心挑选,以展示一个概念,而不会透露远程代码执行的直接途径,”Moore在一篇博客文章中说道。宣布该项目。

到目前为止,已发布了四个带有漏洞利用代码的漏洞警告。四个中的三个属于微软主导的IE浏览器。

根据摩尔的说法,两个IE漏洞仍然没有打补丁,尽管它们是在几乎四个月前的3月6日向微软报告的。

/zimages/5/28571gif有关如何保护网络和应用程序以及最新安全新闻的建议,请访问ZiffDavisInternetsSecurityITHub。

另一个警报解决了Mozillas中的错误Firefox,但Moore指出,这已经在新版本的开源浏览器中得到修复。

Moore因其在渗透测试和漏洞创建方面的工作而在安全界享有盛誉,最近他转向了关注Web浏览器,在几个旨在发现设计缺陷的模糊测试工具上进行协作。

安全研究人员使用模糊测试器或模糊测试器通过向应用程序发送随机输入来查找漏洞。如果程序包含导致异常,崩溃或服务器错误的漏洞,研究人员可以解析测试结果以查明崩溃的原因。

Moore已合作开发了三个浏览器模糊器-Hamachi,CSS-Die和DOM-Hanai已被用于将主要浏览器放入安全测试工厂。

Hamachi是一个试图通过寻找常见的DHTML来验证浏览器完整性的实用程序(动态HTML)实现缺陷。该工具为方法参数和属性值指定常见的“坏”值。在测试期间,Moore注意到Firefox1501通过了所有Hamachi测试而没有崩溃。

CSS-Die寻找常见的CSS1/CSS2/CSS3(层叠样式表)实现缺陷,同时DOM-Hanoi被编程为看起来通过添加/删除DOM(文档对象模型)元素来解决常见的DHTML实现缺陷。

这些发现令人吃惊。摩尔说:“我们可能会在接下来的两年半内每天发布一次,而不会出现漏洞。”微软通常会降低浏览器崩溃的报告,将这些问题视为已解决的稳定性问题。服务包而不是通过每月安全更新。

将拒绝服务错误视为低优先级问题的策略在2005年11月以一种主要方式适得其反,当时IEJavaScript窗口()漏洞被错误地诊断出来作为一个浏览器崩溃。

在向微软报告该漏洞几个月后,一个名为“计算机恐怖主义”的英国组织发布了详细的漏洞利用代码,远程黑客可以使用它来完全控制一个完整的修补Windows系统。

“任何应用程序崩溃漏洞都可以变成任意代码执行,如果某人有足够的信心去处理它,”ExploitPrevention实验室首席技术官RogerThompson说。一位经验丰富的反病毒研究员汤普森表示,他相信MooresMoBB项目可以帮助用户测试PC和防御系统,但他警告称存在危险的下行。

(责任编辑:北赛车开奖)

本文地址:http://www.zgfyxh.com/xiuxianku/xiaojiaoku/201908/1498.html

上一篇:Ruby,RubyonRails获得Stea北赛车开奖m 下一篇:没有了