Microsoft Edge PDF Utnyttja det du behöver veta

Samtidigt som Microsoft introducerade Windows 10, gör idag din startdag: Få Windows 10 nu! Gör idag din startdag: Få Windows 10 nu! Du är ivrig efter att installera Windows 10. Tyvärr missade du Insider Preview och nu tar det en stund tills uppgraderingen kommer att rulla ut till dig. Så här får du Windows 10 nu! Läs mer, det lanserade också en ny webbläsare - Microsoft Edge. Efter alla säkerhets- och sekretessproblem runt Internet Explorer skulle detta vara en ny start, en ren skiffer.

Edge har säkert introducerat några fantastiska nya funktioner 10 Anledningar du borde använda Microsoft Edge Nu 10 skäl att du ska använda Microsoft Edge Nu Microsoft Edge markerar en fullständig paus från Internet Explorer-varumärket och dödar ett 20-årigt släktträd i processen. Det är därför du borde använda den. Läs mer . De annotatabla webbsidorna, läslistan och den snygga designen markerar stora språng framåt i jämförelse med föregångaren.

Tyvärr har den nya webbläsaren introducerat nya problem. Det senaste numret för att få medieuppmärksamhet är dess PDF-utnyttjande.

Men vad är det? Är du i säkerhet? Och är Edge unikt med dessa typer av problem? Låt oss undersöka.

Vad är det?

Utnyttjandet handlar om Windows Runtime PDF Renderer-biblioteket (WinRT PDF). Huvudsyftet med programvaran är att tillåta utvecklare att enkelt integrera en PDF-visningsfunktion inom sina program.

Det betyder att den är närvarande i många Windows-apparater (appar laddade från Windows Store) och inbyggd Windows 10-programvara Så här inaktiverar du Microsoft Edge Browser i Windows 10 Hur du inaktiverar Microsoft Edge Browser i Windows 10 Windows 10: s Edge-webbläsare kan inte tas bort eller avinstalleras. Det finns dock ett verktyg som du kan använda för att inaktivera det så att det aldrig lanseras någonsin igen. Läs mer . Allt från OneNote till tredje part PDF-läsare använder det. Edge använder den som standard PDF-läsare, så PDF-filer inbäddade på en webbsida öppnas automatiskt i biblioteket.

IBM-forskaren Mark Vincent Yason upptäckte ursprungligen felet. Han upptäckte att WinRT PDF kan användas i drive-by-attacker genom att lägga skadlig kod i en dold ram i ett PDF-dokument. Det är ungefär som hur Java och Flash utnyttjas. Det här är hur de hackar dig: Den muriga världen av exploateringskit. Det här är hur de hackar dig: Den muriga världen av exploateringskit. Scammers kan använda programvaru sviter för att utnyttja sårbarheter och skapa skadlig programvara. Men vad är dessa utnyttjande kit? Var kommer de ifrån? Och hur kan de stoppas? Läs mer i det förflutna.

Hur fungerar det?

Problemen uppstår som ett resultat av Edges användning av WinRT PDF.

Teoretiskt kan en hackare innehålla ett WinRT PDF-utnyttjande i en PDF-fil, som kan öppnas i hemlighet med hjälp av en iframe placerad utanför skärmen av CSS. Alla skulle vara attacker måste göra är att hitta och skapa en databas med WinRT sårbarheter som kan levereras för att distribuera sina skadliga program.

WinRT PDF-utnyttjandet skulle i slutändan utföras på samma sätt som att utnyttja kit som Angler eller Neutrino utnyttja Flash, Java och Silverlight sårbarheter.

När exploiten har genomförts kommer din dator att bli utsatt för alla slags säkerhetshot personuppgifter blir lätta att stjäla De 3 personerna är mest troliga att hacka dina data och sekretess De 3 personerna är mest sannolikt att hacka dina data och sekretess Vilka är de flesta människor som bryter mot din integritet och manipulerar med dina data? Läs mer, och virus och malware kan injiceras på din maskin vid inflyttningen av hackaren.

Finns det skyddsåtgärder och är du i riskzonen??

Trots de riktiga varningarna är du förmodligen inte i fara - ändå. Vid skrivandet har inga WinRT PDF-utbyten hittats i naturen.

“WinRT PDF öppnar en extra attackyta som kan hanteras för att attackera Edge-webbläsaren. Men för tillfället är exploatering av WinRT PDF via Edge dyrt på grund av de kombinerade utnyttjandegradningarna på plats. Intresset för WinRT PDF och utvecklingen av nya utnyttjande tekniker kommer att avgöra när en Edge drive-by exploit utnyttjar en WinRT PDF sårbarhet kommer att ses i det vilda.” - Mark Vincent Yason

Windows 10 använder tidigare “Förbättrad Mitigation Experience Toolkit” (EMET) funktioner som “Adress Space Layout Randomization” (ASLR) skydd och Control Flow Guard.

Dessa verktyg hjälper till att förhindra sårbarheter i programvaran. De gör det genom att införa särskilda skydd och hinder som en hacker måste övervinna om de ska få tillgång till säkerhetsbristerna.

Dessa skydd gör att WinRT PDF Reader-sårbarheten är en tidskrävande och dyr affär, och förmodligen varför vi ännu inte ser ett av dessa utnyttjanden i det vilda.

Kort sagt - var inte panik, men var vaksam.

Vad om andra webbläsare?

Kan du helt enkelt undvika Edge hålla dig säker? Jo ja och nej.

Firefox: s interna PDF-läsare anses allmänt vara den mest säkra Det är skrivet helt i JavaScript och använder sig av API och funktionalitet som redan används på andra ställen online. Resultatet är att använda Firefox för att öppna PDF-filer är inte mindre säkra än vanlig daglig surfning.

Men även det har inte gjort Firefox 100 procent säkra. I augusti 2015 upptäcktes ett utnyttjande Uppdatera Firefox nu! Eller en säkerhetsfel kan stjäla dina lokala filer Uppdatera Firefox nu! Eller en säkerhetsfel kan stjäla dina lokala filer Du måste avfyra Firefox och hämta den senaste versionen just nu. Mozilla har utfärdat en kritisk uppdatering som åtgärdar en stor säkerhetsfel, vilket kan låta hackare stjäla filer från hårddisken. Läs mer på en rysk nyhetssida som letade efter känsliga filer på en lokal maskin och laddade dem upp till en server i Ukraina. I arbetet genom att injicera en JavaScript nyttolast i den lokala filkontexten.

Firefox svarade naturligtvis omedelbart med säkerhetspatchar - men historien visar att ingen webbläsare någonsin kommer att vara helt säker från ett givet hot.

Chrome är mindre säkert. Liksom Edge implementeras PDF-läsaren som en binär modell. Det är sedan sandboxat bort från andra delar av operativsystemet - men att sandlåda förblir huvudlinjen för försvaret.

Ska vi ge en del räckvidd?

I allt detta är det viktigt att komma ihåg att Edge fortfarande är mindre än ett år gammal Microsoft Gets the Edge, 1 miljard enheter som kör Windows 10, och mer ... [Tech News Digest] Microsoft får Edge, 1 miljard enheter som kör Windows 10 , Och mer ... [Tech News Digest] Microsoft har Edge, Windows 10 är enorm, Secret blir stängd, bäddar MS-DOS-spel i tweets, tjäna pengar från Silent Hills och titta på Michael Bay visas av en amatörfilmare. Läs mer . Det finns många lovande tecken för framtiden, men det är för närvarande en oavslutad produkt.

Låt oss inte vara för hårt på Edge. Var Chrome perfekt vid sin första utgåva tillbaka 2008? Vad sägs om Firefox 2002?

När Chrome först blev tillgängligt fanns det inget stöd för mushjul eller bokmärken. Det var inte förrän version fyra (två år efter det första utgåvan) att vi såg införandet av tillägg. Det tog också två år att passera Acid3-testet - ett sätt att testa en webbläsares överensstämmelse med webbstandarder som Document Object Model (DOM) och JavaScript. Firefox kan fortfarande inte klara det.

Edge skulle ha korsfästs om det inte stödde bokmärken eller mushjulet rullning vid allmän release.

Ett arbete pågår ...

Moderna dataprogram är aldrig riktigt “färdiga”. De är pågående arbeten som ständigt håller på att uppdateras och förbättras.

Edge är bara nio månader i sitt liv. Medan anti-Edge / anti-Microsoft-människor säkert kommer att använda detta utnyttja som en annan pinne som ska bashas webbläsaren, är sanningen fortfarande att det i många avseenden ser väldigt lovande ut.

Om förlängningar kommer att tillverka senare i år som förväntat, kommer det att kunna konkurrera med det bästa i verksamheten.

Vad tycker du om Edge och exploatera nyheterna? Är du någon som tror att Edge är dömd att misslyckas, eller kan vi se att det blir marknadsledande i framtiden? Låt oss veta i kommentarerna.

Utforska mer om: Datorsäkerhet, Microsoft Edge, PDF.