Epic fail: Yahoo! выпустила браузер Axis и приватный ключ для подписи плагинов

Epic fail: Yahoo! выпустила браузер Axis и приватный ключ для подписи плагинов

Сегодня состоялся релиз Axis – расширения к Google Chrome совместно с приватным ключом, позволяющим подписать любой плагин от имени Yahoo! Software.

Сегодня знаменательный день для компании Yahoo! Состоялся выпуск браузера Axis, предназначенного для быстрого и умного поиска в сети Интернет. Но день этот знаменателен совсем не поэтому. Совместно с выпуском браузера и расширений к Chrome, Mozilla и Internet Explorer, сотрудники компании по ошибке включили в состав плагинов приватный ключ, которым подписывается ПО от Yahoo! Об этом сообщил исследователь Ник Кубрилович (Nik Cubrilovic) в своем блоге .

Этой подписи доверяют производители других браузеров и считают подобные плагины безопасными. Злоумышленник может создать вредоносный плагин, подписать его ключом, скачанным вместе с плагином Axis, и обманом заставить пользователей установить его.

Исследователь разместил демонстрационный плагин на GitHub, подписанный им от имени Yahoo!

Ник Кубрилович сообщил об инциденте представителям Yahoo!, которые удалили из установочного дистрибутива сертификат.

Скачать Axis можно на официальном сайте производителя axis.yahoo.com .

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!