欢迎光临:天天彩票app
您现在的位置:主页 > 居家电器 > 加湿器 >  > 正文

谷歌,雅虎,Facebook扩展使数百万Firefox用户面临风险 - 更新

更新:2019-08-12 编辑:天天彩票app 来源:一起问道 热度:8126℃
Firefox浏览器用户喜欢无数的第三方扩展,这些扩展调整了开源浏览器的性能,但是其中一些最受欢迎的扩展创建了一个安全漏洞甚至是新手AOL黑客可以找到它并且数以百万计的Firefox用户面临被浏览器被劫持的风险。

第三方扩展包括来自Google,Yahoo,Ask,Facebook,LinkedIn以及社交书签的广泛使用的工具栏来自Del.icio.us的扩展和两个反黑客附加组件,Netcraft反网络钓鱼工具栏和PhishTank SiteChecker都使用户面临浏览器感染恶意代码的风险。

与几乎全部不同在Mozilla(创建开源Firefox浏览器的基础)上托管的扩展,这些商业扩展检查来自各自公司领主控制的服务器的更新。他们无法检查具有SSL证书的服务器的扩展,大多数用户都知道这些扩展名是以https://开头的网站。

这意味着在使用开放式无线连接时打开浏览器的用户容易受到攻击黑客可以拦截这些第三方扩展'检查普通http://站点的更新,然后伪装成更新服务器。风险较小的用户没有改变家用路由器上的默认密码,这可能允许攻击者接管路由器并弄乱网络数据包。

而不是发回新的合法代码或者告诉分机它是最新的消息,流氓无线连接(或受损路由器)发送新的恶意扩展,可能让攻击者接管浏览器并使用计算机发送垃圾邮件,攻击其他计算机或窃取用户的密码和敏感信息。

独立安全研究员Christopher Soghoian,印第安纳大学的一名学生,通过宣传登机牌中一个众所周知的安全漏洞,首次为自己取名,发现了扩展漏洞在他自己的计算机上使用一个简单的数据包嗅探器。

“这里有点讽刺的是,通过下载一个反网络钓鱼工具栏,你现在让自己比从未下载时更容易受到攻击它,&q UOT; Soghoian说。 “它'完全无关紧要。这绝不是计算机安全研究的主要部分。试图骚扰供应商修复漏洞的工作花了很多时间而不是找到它。“

对于用户和软件供应商来说,修复很简单.Soghoian说。用户应该卸载他们没有从官方Mozilla附加组件页面下载的任何扩展程序。从该页面提供的扩展都使用Mozilla'的免费https://连接。

对于他们来说,软件供应商只需要使用validSSL证书更新其扩展更新服务器,以便扩展可以检查https:// site。由于加密检查比非加密呼叫需要更多的计算能力,拥有数十万或数百万扩展用户的公司可能还需要添加额外的服务器来处理更大的负载。

他指出,安全扩展,McAfee SiteAdvisor附加组件,用于在用户访问已知托管不可靠下载或恶意代码的站点时向用户发出警告,正确使用https://扩展进行更新。

更新:阅读器Johnny在评论中写道,SiteAdvisor附加组件实际上并不安全:

转载请注明转载地址:“http://www.pjlol.com/jijiadianqi/jiashiqi/201908/1348.html ”。

上一篇:网络安全意识月:您知道防火墙在哪里吗?
下一篇:没有了
无法在这个位置找到: sidebar.htm