Брешь в Windows 8 позволяет отслеживать каждую установленную пользователем программу

image

Теги: Windows 8, уязвимость, браузер, слежка

Эксплуатация уязвимости несет в себе двойную угрозу: Microsoft будет отслеживать каждую загруженную программу, а злоумышленники смогут скомпрометировать базу данных пользовательских IP-адресов.

По словам студента и разработчика программного обеспечения Надима Кобесси (Nadim Kobeissi), операционная система Windows 8 содержит уязвимость, которая позволяет корпорации Microsoft отслеживать каждую установленную пользователем программу.

Кобесси, ставший известным после создания чата по безопасности Cryptocat, отметил, что брешь присутствует в функции SmartScreen, которой оснащена новая операционная система. По словам эксперта, каждый раз, когда пользователь устанавливает новую программу или приложение, операционная система отправляет информацию об установленном продукте в Microsoft. Этой информации достаточно для того, чтобы сотрудники компании идентифицировали приложение, а также для того, чтобы сопоставить полученные данные с IP-адресом пользователя и сформировать статистику о том, кто и какие приложения устанавливает. Кроме того, Кобесси отметил, что сервер, на который отправляется информация, использует небезопасный протокол SSLv2.

Напомним, что сервис SmartScreen был впервые установлен в Internet Explorer 8 как дополнительный механизм к фильтру фишинга. При использовании SmartScreen Интернет-браузер от Microsoft отправляет URL-адрес каждой просмотренной страницы в компанию, где специальные службы проверяют адреса на наличие вредоносной активности. В случае обнаружения угрозы, Internet Explorer выдает соответствующее предупреждение и затрудняет доступ к web-ресурсу.

В новой операционной системе Windows 8 функции SmartScreen расширены. Программа не только сканирует URL-адреса посещаемых пользователем страниц, но и проверяет все загруженные при помощи браузера файлы.

Как отмечает Кобесси, эксплуатация уязвимости несет в себе двойную угрозу. Во-первых, Microsoft может собирать информацию о том, с какого IP-адреса был отправлен запрос на загрузку программ и приложений. Во-вторых, использование небезопасного протокола может привести к утечке конфиденциальной информации.

Пресс-секретарь Microsoft отметила, что компания не занимается формированием баз данных пользовательских IP-адресов. «Мы можем подтвердить, что, IP-адреса, необходимые для подключения к нашим сервисам периодически удаляются. Кроме того, мы принимаем все необходимые меры для того, чтобы защитить конфиденциальность пользователей. Что касается рисков использования небезопасного протокола SSL2.0, то операционная система Windows 8 не будет его использовать», - цитирует представителя корпорации Arstechnica.


или введите имя

CAPTCHA
Страницы: 1  2  3  
27-08-2012 12:02:43
фу... какая гадость ваша заливная рыба
0 |
27-08-2012 13:47:40
Новая версия - новые анальные зонды.
0 |
42103
27-08-2012 15:04:34
"По словам студента" ХА-ХА-ХА Скукота. А вот Windows 8 очень неудобная получилась, это да. По словам студентаПодробнее: http://www.securitylab.ru/news/429056.php По словам студентаПодробнее: http://www.securitylab.ru/news/429056.php
0 |
Linux
03-09-2012 00:41:58
Просто винда по своей природе кривая как и весь её контингент
0 |
21179
27-08-2012 17:14:05
А почему брешь а не фича? Ведь кого устраивает отсутствие контроля за своим компом такому только воздрадуется. Так он просто в ботнетах участвует, а иначе будет микрософту хоть полезные данные сообщать. Ясен перец что будущая вирусня будет говорить: "Дай денег, а то сообщу в микрософт об устновке када для проектирования ядерной бомбы, или о 100000 установках на комп пирацкого офиса, вижулов всяких, и прочей мелкомягкой шняги...
0 |
rr
27-08-2012 20:39:13
фича - не сомненно-именно, +мой коммент на "Microsoft выпустит девять бюллетеней безопасности 14 августа"(http://www.securitylab.ru/news/428276.php?page=post&blog=comments&id=23946&commentId=341554#341554) и просто "Microsoft запатентовала технологию тотальной слежки за людьми"(http://www.securitylab.ru/news/428805.php)
0 |
Знаток MS
28-08-2012 07:53:33
Почему брешь? Это не брешь...Так как Windows собственность MS и установленная на компьютере она не перестает быть собственностью MS. В чем проблема?
0 |
Чебурген
28-08-2012 08:56:08
Какой вы умный, у Вас IQ, наверно, 200%. Вам срочно надо в компьютерные академики.
0 |
Знаток MS
28-08-2012 09:17:07
Давно там.
0 |
main_field
28-08-2012 09:41:44
Какая собственность ???? Люди покупают эту систему !!!
0 |
Прохожий
28-08-2012 15:09:58
Что, правда?! Почитайте EULA - удивитесь. Например, для прошной семёрки, раздел 8:Программное обеспечение не продается, а предоставляется в пользование по лицензии. Это соглашение дает вам только некоторые права на использование функций, имеющихся в данном выпуске программного обеспечения, лицензию на который вы получили. Microsoft оставляет за собой все остальные права.
0 |
rr
29-08-2012 07:01:55
Особенно - право быть безотвественным за нанесение ЛЮБОГО вреда* (по Закону, причём т.ск.якобы с согласия пользователя в соответвии с этой их, кстати филькиной в юридическом смысле, Лицензий! Т.е.MS ОС фактически будучи просто трояном(но "в законе"), прямо этим пунктом нарушающим Законодательство о неприкосновенности частных данных на ПК). Сноска: * - фактически в т.ч.даже здоровью, очевидно что и в т.ч.попроще - напр.сотрут диск по команде удалённо(что удалённое это ещё и не доказать то...!), или подложат чтонибудь и тд) находящегося в Лицензии с самых первых версий MS программ/ОС.
0 |
Прохожий
29-08-2012 10:55:21
Ну, эту фишку я читал ещё в EULA на NT4(может и раньше появилось, но до НТ4 я еулу не читал даже мельком) С другой стороны, даже в лицензиях на клоны блокнота(и платные, и бесплатные) в дисклаймерах пишут что ПО поставляется "AS IS", и без всяких гарантий. ОС как бы посложнее блокнота будет, и если Вы хотите подобных гарантий, то готовьтесь что ценник будет не 180 уе, а, например, 180000 уе(больше труда на разработку и отлов багов, или, как вариант, страхование ответственности разработчика по данной гарантии перед лицензиатом)
0 |
rr
29-08-2012 22:43:40
1) Так выходит что именно от ОС, а не от любого другого ПО зависит - будет ли нанесён вред выполняемой ПК задачи исполняемой задаче/ОС/пользователем - или нет. К тому же, в текущих условиях фактически заведомой отказо-не-устойчивости MS ОС - другим разработчикам не то что гарантировать, просто обещать-авось - фактически лгать... 2) 180000 уе - Пожалуйста полное право производителя... (продать по этой цене штук сто экземпляров - в США, и то - только потому что это MS+IBM/Intel), но MS предпочла эту сумму разработки распределить на весь мир - (конечно и в т.ч.чтобы уничтожить возможность продвинуть и темболее создать ОС конкурента, по ряду причин, тот же даже созданный бесплатный *NIX тут хороший пример) и потому она не корпорация-милилонер, а ...только сам Б.Г. - миллиардер, и то - официально. Так что очевидно что я не один по этому вопросу с вами не согласен... Но, даже такие доходы(вместо ук.вами) "почему то" не способствуют выпуску надёжной MS ОС, и не будут - потому что это MS просто не выгодно.
0 |
Прохожий
30-08-2012 09:14:43
1) Не только. От голой ОС толку мало, поэтому используется дополнительный(сторонний) софт. Так что часто проблемы связаны с кривизной не ОС, а прикладного ПО. Которое тоже идёт "AS IS". Но самую большую опасность для данных представляет "оператор" ПК, и тут не спасёт ни Гейтс, ни Торвальдс. 2) Кривая спроса и предложения. Кто-то живёт за счёт "эксклюзивных" продаж, кто-то за счёт оборота. Это право компании, выбирать какой стратегии придерживаться. Если ошибутся - прогорят. Но пока этого не заметно. Насчёт "задавить" конкурентов ценой - не согласен. Сделают цену прошки в 50уе, тогда можно будет об этом поразмышлять, а пока многие предпочитают пиратку винды бесплатному линуксу. Впрочем эти люди(по крайней мере большая их часть) и 10уе назовут завышенной ценой. Да, Линукс - не Юникс. З.Ы. не хотелось бы углубляться в тему Win'vs'Lin - всё опять скатится к унылому холивару
0 |
______1
30-08-2012 14:16:09
Публичная информация может быть собственностью только в оторванных от реальности фантазиях некоторых законописателей.
0 |
Страницы: 1  2  3