forum.opennet.ru

Составление сообщения

Исходное сообщение

"Google прекратил выпуск обновлений для браузерного компонент..."
Отправлено opennews, 13-Янв-15 12:53

Разработчики фреймворка Metasploit обратили внимание (https://community.rapid7.com/community/metasploit/blog/2015/...) на прекращение выпуска обновлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое.

Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств,  остальные 60.8% систем остаются с неисправленными уязвимостями. Политика для старых выпусков состоит в  том, что Google не будет принимать меры, если сообщения об уязвимостях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей.
В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак.

Проблема усугубляется появлением (https://productforums.google.com/d/msg/adsense-ru/zlN5LJhvvg...) потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих (https://www.youtube.com/watch?v=PggsU_KaxvM) принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется (https://www.opennet.ru/openforum/vsluhforumID3/100956.html#51) через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com  загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало (https://www.opennet.ru/openforum/vsluhforumID4/489.html).

В настоящее время данные баннеры используются в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносноего ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, при вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети  AdSense.

URL: https://community.rapid7.com/community/metasploit/blog/2015/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41447

Исходное сообщение
"Google прекратил выпуск обновлений для браузерного компонент..." Отправлено opennews, 13-Янв-15 12:53
Разработчики фреймворка Metasploit обратили внимание (https://community.rapid7.com/community/metasploit/blog/2015/...) на прекращение выпуска обновлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое. Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% систем остаются с неисправленными уязвимостями. Политика для старых выпусков состоит в том, что Google не будет принимать меры, если сообщения об уязвимостях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей. В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак. Проблема усугубляется появлением (https://productforums.google.com/d/msg/adsense-ru/zlN5LJhvvg...) потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих (https://www.youtube.com/watch?v=PggsU_KaxvM) принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется (https://www.opennet.ru/openforum/vsluhforumID3/100956.html#51) через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало (https://www.opennet.ru/openforum/vsluhforumID4/489.html). В настоящее время данные баннеры используются в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносноего ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, при вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети AdSense. URL: https://community.rapid7.com/community/metasploit/blog/2015/... Новость: https://www.opennet.ru/opennews/art.shtml?num=41447

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики фреймворка Metasploit обратили внимание (https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior) 
> на прекращение выпуска обновлений для компонента WebView, используемого в Android для 
> обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать 
> web-содержимое.

> Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) 
> и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств,  
> остальные 60.8% систем остаются с неисправленными уязвимостями. Политика для старых выпусков 
> состоит в  том, что Google не будет принимать меры, если 
> сообщения об уязвимостях не сопровождаются готовыми патчами. Если патчи представлены, 
> то Google готов довести исправления до партнёров и OEM-производителей.

> В выпуске Android 4.4 компонент WebView был заменён на более современный движок, 
> основанный на кодовой базе Chromium. Устаревший движок, применяемый в Android 4.3 
> и более ранних выпусках, уже давно не обновлялся, что привело к 
> созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе 
> прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в 
> состав Metasploit и доступны публично, что позволяет использовать их для организации 
> атак.

> Проблема усугубляется появлением (https://productforums.google.com/d/msg/adsense-ru/zlN5LJhvvgw/jPoqvsNjMtMJ) 
> потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины 
> декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих 
> (https://www.youtube.com/watch?v=PggsU_KaxvM) принудительный переброс на сторонние 
> страницы без каких-либо действий со стороны пользователя. Проброс осуществляется (https://www.opennet.ru/openforum/vsluhforumID3/100956.html#51) 
> через получение JavaScript-кода со стороннего сайта под видом картинки с его 
> последующим исполнением (под видом обращения к счётчику pix.stcounter.com  загружается 
> строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется 
> на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без 
> спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и 
> только от opennet.ru в Google было отправлено 5 различных запросов, но 
> централизованной блокировки подобных HTML5-баннеров не последовало (https://www.opennet.ru/openforum/vsluhforumID4/489.html).

> В настоящее время данные баннеры используются в целях мошенничества, но нет никаких 
> гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать 
> код для эксплуатации уязвимостей и внедрения вредоносноего ПО. Более того, нет 
> никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, 
> при вредоносный код может отдаваться только при обнаружении уязвимой версии по 
> идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный 
> редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую 
> передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников 
> имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки 
> для выполнения любого JavaScript кода на любом сайте, участвующем в сети 
>  AdSense.

> URL: https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=41447

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру