На Black Hat покажут хакерский формат изображений
В связи с приближением конференции Black Hat, проводимой на этой неделе в Лас-Вегасе, в Интернете постепенно появляется предварительная информация о вредоносных изобретениях, которые будут продемонстрированы широкой аудитории.
Один из анонсов рассказывает об изображении, способном обходить системы защиты сайтов и захватывать управление аккаунтами других пользователей. Такая атака возможна на порталах, разрешающих загружать в профиль изображения. Авторство найденного способа принадлежит компании NGS Software, она назвала придуманный комбинированный формат GIFAR, поскольку он состоит из картинки формата GIF и JAR в лице специального апплета.
На конференции изготовители покажут, как можно создавать файлы GIFAR и защищаться от них. Для пользователей файл будет выглядеть как обычное изображение GIF, зато в браузере он будет запущен с позиции Java Archive. Примерная схема работы атакующих выглядит так: на сайте создается профиль с изображением, хакеры разными путями заманивают посетителей и в результате открывается доступ, например, к аккаунту Facebook посетителя. Из-за повсеместной поддержки Java атака становится универсальной, работая даже на таком сайте как Amazon.com.
публикации сходной тематики
- SFLC призывает Black Duck опубликовать код средств анализа ПО
- Cooler Master дополнит корпус Cosmos Black эксклюзивным кулером Hyper Z600 Black
- Apache Foundation обратилась к Sun с открытым письмом
- XFX GeForce 260 GTX Black Edition – чертовски быстрая видео
- Berkeley DB Java Edition получила возможность репликации