24-01-2019 22:45

170 расширений Chrome открывают злоумышленникам доступ к данным пользователей

170 расширений Chrome открывают пользователей для атак через API170 расширений Chrome открывают пользователей для атак через APIOpenClipart-Vectors; geralt

Yubico анонсировала аппаратный ключ для iPhone с подключением через Lightning-портВам будет интересно:Yubico анонсировала аппаратный ключ для iPhone с подключением через Lightning-порт

Как оказалось, злоумышленники могут через API некоторых расширений атаковать пользователей браузеров: запускать произвольный код, получать куки, закладки и историю просмотров, устанавливать другие расширения, сохранять/извлекать файлы и так далее. В Opera таких расширений 10 штук, Firefox — 16, а в Chrome — 171.

170 расширений Chrome открывают пользователей для атак через API170 расширений Chrome открывают пользователей для атак через API

Как можно защититься?

Самый надёжный способ — удалить уязвимое расширение. Проверить свои расширения можно прямо на этой странице. Для этого в Google Chrome перейдите по адресу chrome://system/ и нажмите на кнопку «Expand» напротив «extensions». Скопируйте список расширений вместе с их идентификаторами (строки из 32 строчных символов в поле ниже). Для Firefox и Opera действия аналогичные — нужно найти список расширений и вставить список айдишников.

Если расширение есть в списке уязвимых, его идентификатор отобразится в строке над полем ввода:

Вы можете скопировать его, найти в исходном докладе и узнать, что именно с ним не так. Лучше всего это расширение потом удалить.

Команда Opera уже удалила 8 из 10 уязвимых приложений, Firefox — все 16, а Chrome пока не знает, как действовать: выбросить больше полутора сотен расширений или добиться, чтобы разработчики их исправили. Так что пользователям Chrome на первых порах придётся самим озаботиться своей безопасностью.



Источник