Επίλυση Όλων Των Προβλημάτων Των Παραθύρων Και Άλλων Προγραμμάτων

Η Yahoo διαρρέει ιδιωτικό κλειδί, επιτρέπει σε οποιονδήποτε να δημιουργήσει επεκτάσεις Chrome με υπογραφή Yahoo

Η Yahoo αναγκάστηκε να κυκλοφορήσει μια νέα έκδοση της επέκτασης Axis για το Google Chrome αφού η αρχική περιείχε ένα ιδιωτικό κλειδί που επέτρεπε σε οποιονδήποτε να υπογράψει ψηφιακά επεκτάσεις στο όνομα του Yahoo.

Το Axis είναι ένα νέο εργαλείο αναζήτησης και περιήγησης από το Yahoo απελευθερώθηκε την Τετάρτη. Είναι διαθέσιμο για επιτραπέζιους υπολογιστές, ως επέκταση για το Google Chrome, Mozilla Firefox, Internet Explorer και Safari, καθώς και για συσκευές iOS, ως αυτόνομη εφαρμογή.



Ωστόσο, ενώ κοιτούσε τον πηγαίο κώδικα για την επέκταση Google Chrome Axis, ο χάκερ και μπλόγκερ ασφαλείας Nik Cubrilovic ανακάλυψε ένα σοβαρό ελάττωμα ασφαλείας - το πακέτο περιλάμβανε το ιδιωτικό κρυπτογραφικό κλειδί που χρησιμοποίησε η Yahoo για να υπογράψει την επέκταση.



'Με πρόσβαση στο αρχείο ιδιωτικού πιστοποιητικού [ιδιωτικό κλειδί] ένας κακόβουλος εισβολέας είναι σε θέση να δημιουργήσει μια πλαστή επέκταση που το Chrome θα πιστοποιήσει ότι είναι από το Yahoo', δήλωσε ο Nik Cubrilovic ανάρτηση την Πέμπτη.

Οι επεκτάσεις του Google Chrome διατίθενται ως αρχεία CRX, τα οποία είναι ουσιαστικά ψηφιακά υπογεγραμμένα αρχεία μορφής ZIP.



ποια είναι η τελευταία ενημέρωση των Windows 10

Κάθε αρχείο CRX περιέχει ένα δημόσιο κλειδί που αποτελεί μέρος ενός ζεύγους ιδιωτικού-δημόσιου κλειδιού μοναδικό για τον δημιουργό του. Το ιδιωτικό κλειδί χρησιμοποιείται για την υπογραφή της επέκτασης, ενώ το δημόσιο κλειδί χρησιμοποιείται από το πρόγραμμα περιήγησης για να επαληθεύσει την αυθεντικότητα της υπογραφής.

Δεδομένου ότι τα ιδιωτικά κλειδιά επιτρέπουν στους προγραμματιστές να υπογράφουν ψηφιακά νέες επεκτάσεις ή να ενημερώνουν τις παλιές τους, θα πρέπει πάντα να μένουν μυστικές.

Για να αποδείξει τις συνέπειες της διαρροής ιδιωτικού κλειδιού, ο Cubrilovic δημιούργησε μια επέκταση Chrome που αποδεικνύει την έννοια που εμφανίζει μια ειδοποίηση σε κάθε ιστότοπο που επισκέπτεστε και την υπέγραψε με το ιδιωτικό κλειδί της Yahoo.



Ένας εισβολέας μπορεί να σπρώξει μια κακόβουλη επέκταση με την υπογραφή Yahoo σε ένα πρόγραμμα περιήγησης που έχει εγκατεστημένη την επέκταση Axis, χρησιμοποιώντας τεχνικές όπως η πλαστογράφηση DNS, είπε ο Cubrilovic.

Το Google Chrome ελέγχει αυτόματα για ενημερώσεις επέκτασης ερωτώντας τις διευθύνσεις URL ενημέρωσης που καθορίζονται από προγραμματιστές. Εάν οι επιτιθέμενοι μπορούν να σφυρηλατήσουν τις απαντήσεις DNS (σύστημα ονομάτων τομέα) που λαμβάνει το πρόγραμμα περιήγησης, μπορούν να το αναγκάσουν να εγκαταστήσει μια απάτη ψηφιακά υπογεγραμμένη ενημέρωση επέκτασης από έναν διακομιστή υπό τον έλεγχό τους.

Η Yahoo επιβεβαίωσε το ζήτημα ασφαλείας. «Δουλέψαμε γρήγορα για να επιλύσουμε το ζήτημα και εκδώσαμε μια νέα προσθήκη Chrome», δήλωσε εκπρόσωπος της Yahoo μέσω email. «Χρήστες που κατέβασαν το Yahoo! Άξονας στο Chrome μεταξύ 6-9 μ.μ. Pacific Time στις 23 Μαΐου 2012, ενθαρρύνουμε την απεγκατάσταση της προηγούμενης έκδοσης και την επανεγκατάσταση της νέας έκδοσης στο axis.yahoo.com. '

Επιλογή Συντάκτη

Microsoft Blogwatch It

Microsoft Blogwatch It

Κριτική: Ο Internet Explorer 7 δεν έχει ψυχή

Ένα πράγμα που έμαθα για την αναθεώρηση λογισμικού και υλικού τα τελευταία 20 χρόνια, λέει ο Scot Finnie του Computerworld, είναι ότι αν δεν με ενδιαφέρει όταν δοκιμάζω για πρώτη φορά τις νέες δυνατότητες ενός προϊόντος, είναι απίθανο να γίνω πραγματικός χρήστης αργότερα Ε

Πώς να εκμεταλλευτείτε πλήρως τις δυνατότητες αποκατάστασης της ιδιωτικής ζωής του Android 10

Προσοχή, κάτοχοι συσκευών Android: Ακολουθήστε αυτά τα γρήγορα βήματα για να βεβαιωθείτε ότι θα επωφεληθείτε πλήρως από μία από τις σημαντικότερες προσθήκες του Android 10.

Το VMware αγοράζει το SpringSource σε κίνηση cloud

Κανένας

Αποκτήστε πρόσβαση στην παλιά μονάδα δικτύου Stora μέσω USB

Γεια, Για πολλά χρόνια, είχα ένα Netgear Stora NAS να λειτουργεί ομαλά, αλλά πρόσφατα διέκοψαν την υποστήριξη για αυτό, αφήνοντάς μου με 1TB Mirrored τούβλο. Έχω βάλει μία από τις μονάδες δίσκου σε ένα USB