„Microsoft Edge“ PDF naudojimo būdas: ką reikia žinoti

Skelbimas

Tuo pačiu metu kaip „Microsoft“ pristatė „Windows 10“ Padarykite šiandien savo darbo dieną: įsigykite „Windows 10“ dabar!Jūs nekantraujate įdiegti „Windows 10“. Deja, jūs praleidote „Insider Preview“ ir dabar reikia šiek tiek laiko, kol atnaujinimas bus pradėtas naudoti jums. Štai kaip gauti „Windows 10“ dabar! Skaityti daugiau , ji taip pat paleido naują naršyklę - „Microsoft Edge“. Po visų su „Internet Explorer“ susijusių saugumo ir privatumo problemų tai turėjo būti nauja pradžia, švarus šiferis.

„Edge“ tikrai pristatė kai kuriuos nuostabios naujos funkcijos 10 priežasčių, kodėl turėtumėte naudoti „Microsoft Edge“ dabar„Microsoft Edge“ žymi visišką „Internet Explorer“ prekės ženklo prarają ir nužudo 20 metų šeimos medį. Štai kodėl turėtumėte tai naudoti. Skaityti daugiau . Tinklalapiai su komentarais, skaitymo sąrašas ir aptakus dizainas žymi didelius šuolius į priekį, palyginti su ankstesniu.

Deja, naujojoje naršyklėje taip pat atsirado naujų problemų. Naujausia žiniasklaidos dėmesio sulaukianti problema yra jos PDF naudojimas.

Bet kas tai? Ar esate saugus? Ar „Edge“ yra unikalus šių tipų klausimais? Ištirkime.

Kas tai?

Išnaudojimas sukasi aplink „Windows Runtime PDF Renderer“ biblioteką (WinRT PDF). Pagrindinis programinės įrangos tikslas yra leisti kūrėjams lengvai integruoti PDF peržiūros funkciją į savo programas.

Tai reiškia, kad jo yra daugelyje „Windows Apps“ (programų, atsisiųstų iš „Windows Store“) ir pakeista „Windows 10“ programinė įranga Kaip išjungti „Microsoft Edge“ naršyklę „Windows 10“„Windows 10“ naršyklės negalima pašalinti ar pašalinti. Vis dėlto yra įrankis, kurį galite naudoti norėdami jį išjungti, kad jis niekada nebepaleistų. Skaityti daugiau . Tuo naudojasi viskas, nuo „OneNote“ iki trečiųjų šalių PDF skaitytojų. „Edge“ jį naudoja kaip numatytąjį PDF skaitytuvą, todėl į tinklalapį įterpti PDF failai bus automatiškai atidaromi bibliotekoje.

IBM tyrėjas Markas Vincentas Yasonas iš pradžių atrado trūkumą. Jis išsiaiškino, kad „WinRT PDF“ gali būti naudojamas vykdant išpuolius, įterpiant kenksmingą kodą į paslėptą PDF dokumento rėmą. Tai labai panašu į tai, kaip Buvo išnaudojama „Java“ ir „Flash“ Štai kaip jie tave nulaužė: niūrus eksploatacinių rinkinių pasaulisSukčiai gali naudoti programinės įrangos rinkinius, kad išnaudotų pažeidžiamumus ir sukurtų kenkėjiškas programas. Bet kas yra šie išnaudojimo rinkiniai? Iš kur jie atvyko? Ir kaip juos galima sustabdyti? Skaityti daugiau praeityje.

Kaip tai veikia?

Problemos kyla dėl to, kad „Edge“ naudoja „WinRT PDF“.

Teoriškai įsilaužėlyje gali būti „WinRT PDF“ išnaudojimas PDF rinkmenoje, kurį CSS galėtų slapta atidaryti naudodamas „iframe“ ekraną, esantį ne ekrane. Visi būsimi užpuolikai turi surasti ir sukurti „WinRT“ pažeidžiamumų duomenų bazę, kurią galima panaudoti platinant jų kenkėjiškas programas.

„WinRT PDF“ išnaudojimas galiausiai bus atliekamas tokiu pačiu būdu, kuris išnaudoja tokius rinkinius kaip „Angler“ ar „Neutrino“, pasinaudojant „Flash“, „Java“ ir „Silverlight“ spragų pranašumais.

Vykdydamas išnaudojimą, jūsų kompiuteris susidurs su visų rūšių saugumo grėsmėmis; asmens duomenis tampa lengva pavogti 3 žmonės, kurie greičiausiai nulaužė jūsų duomenis ir privatumąKas yra tie žmonės, kurie dažniausiai pažeidžia jūsų privatumą ir klastoja jūsų duomenis? Skaityti daugiau , o virusus ir kenkėjiškas programas į savo kompiuterį galima įšvirkšti įsilaužėlio užgaidos dėka.

Ar yra apsaugos priemonių ir ar jums gresia pavojus?

Nepaisant skaudžių įspėjimų, jūs tikriausiai dar niekuo nerizikuojate. Rašymo metu gamtoje nebuvo rasta jokių „WinRT PDF“ išnaudojimų.

„WinRT PDF“ atveria papildomą atakos paviršių, kurį galima panaudoti atakuojant „Edge“ naršyklę. Tačiau kol kas „WinRT PDF“ naudojimas per „Edge“ yra brangus, nes yra suderinti išnaudojimo padariniai. Susidomėjimas „WinRT PDF“ ir naujų eksploatavimo metodų kūrimas lems, kada „Edge drive-by“ išnaudojimas, išnaudodamas „WinRT PDF“ pažeidžiamumą, bus matomas tiesioginėje aplinkoje. “ - Markas Vincentas Yasonas

„Windows 10“ naudoja buvusias „Patobulinto poveikio švelninimo patirties įrankių rinkinio“ (EMET) funkcijas, tokias kaip „Adreso vietos išdėstymo randomizacija“ (ASLR) apsauga ir „Control Flow Guard“.

Šios priemonės padeda išvengti programinės įrangos pažeidžiamumų. Jie tai daro įvesdami specialią apsaugą ir kliūtis, kurias įsilaužėlis turi įveikti, jei nori patekti į saugumo trūkumus.

Dėl šių apsaugos priemonių „WinRT PDF“ skaitytuvo pažeidžiamumo naudojimas yra daug laiko reikalaujantis ir brangus reikalas, todėl tikriausiai todėl dar turime pamatyti vieną iš šių išnaudojimų gamtoje.

Trumpai tariant - nepanikuokite, bet būkite budrūs.

Ką apie kitas naršykles?

Ar paprasčiausiai išvengdamas „Edge“ gali jus apsaugoti? Na, taip ir ne.

„Firefox“ vidinis PDF skaitytuvas yra plačiausiai laikomas saugiausiu; ji visiškai parašyta „JavaScript“ ir naudoja API ir funkcijas, kurios jau naudojamos kitur internete. Rezultatas - „Firefox“ naudojimas PDF rinkmenoms atidaryti nėra ne mažiau saugus nei įprastas kasdienis interneto naršymas.

Bet net ir tai nepadarė „Firefox“ 100 procentų saugumo. 2015 m. Rugpjūčio mėn buvo aptiktas išnaudojimas Atnaujinkite „Firefox“ dabar! Arba saugos klaida gali pavogti jūsų vietinius failusTurite suaktyvinti „Firefox“ ir atsisiųsti naujausią versiją dabar. „Mozilla“ išleido kritinį naujinimą, kuris ištaisė pagrindinę saugumo spragą, kuri įsilaužėliams galėjo leisti pavogti failus iš standžiojo disko. Skaityti daugiau Rusijos naujienų svetainėje, kuri vietiniame kompiuteryje ieškojo neskelbtinų failų ir įkėlė juos į serverį Ukrainoje. Įdirbo „JavaScript“ naudingą krūvį į vietinio failo kontekstą.

Į „Firefox“ natūraliai reagavo iškart, naudodamas saugos pataisas, tačiau istorija įrodo, kad jokia naršyklė niekada nebus visiškai apsaugota nuo bet kokios grėsmės.

„Chrome“ ne tokia saugi. Kaip ir „Edge“, PDF skaitytuvas yra įgyvendinamas kaip dvejetainis modelis. Tada jis yra smėlio dėžės atstumas nuo kitų operacinės sistemos dalių, tačiau ši smėlio dėžė išlieka pagrindine gynybos linija.

Ar turėtume suteikti kraštui šiek tiek pravažiavimo?

Visa tai svarbu prisiminti Kraštas vis dar mažiau nei metai „Microsoft Gets the Edge“, 1 milijardas įrenginių, kuriuose veikia „Windows 10“ ir dar daugiau... [Techninių žinių santrauka]„Microsoft“ turi „Edge“, „Windows 10“ yra didžiulė, „Secret“ užsidaro, įterpia „MS-DOS“ žaidimus į tviterius, uždirba pinigus iš „Silent Hills“ ir stebi, kaip Michaelas Bay'as bus parodytas mėgėjų kino režisieriaus. Skaityti daugiau . Ateityje yra daug žadančių ženklų, tačiau šiuo metu tai yra nebaigtas gaminys.

Nebūkime per sunkūs „Edge“. Ar „Chrome“ buvo tobula, kai pirmą kartą buvo išleista 2008 m.? O kaip su „Firefox“ 2002 m.

Kai „Chrome“ pirmą kartą tapo prieinama, nebuvo palaikoma pelės ratukų ar žymių. Tik ketvirta versija (praėjus dvejiems metams po pirminio jos išleidimo) pamatė plėtinių įdiegimą. Taip pat prireikė dvejų metų, kol buvo išlaikytas „Acid3“ testas - būdas patikrinti, ar naršyklė atitinka interneto standartus, tokius kaip dokumento objekto modelis (DOM) ir „JavaScript“. „Firefox“ vis dar negali jo perduoti.

Kraštas būtų nukryžiuotas, jei jis nepalaikytų žymių ar pelės ratuko slinkties po bendrojo išleidimo.

Vykdomas darbas…

Šiuolaikinės kompiuterių programos niekada nebūna „baigtos“. Tai yra vykdomi darbai, kurie yra nuolat atnaujinami ir tobulinami.

Eglė yra tik devyni mėnesiai per savo gyvenimą. Nors „anti-Edge“ / „anti-Microsoft“ žmonės šį išnaudojimą tikrai panaudos kaip dar vieną lazdą, kuria naudodamiesi naršykle, tačiau išlieka tiesa, kad daugeliu atžvilgių ji atrodo labai perspektyvi.

Jei plėtra bus įgyvendinta vėliau šiais metais, kaip tikėtasi, ji galės konkuruoti su geriausiais versle.

Kokia jūsų nuomonė apie „Edge“ ir išnaudojamas naujienas? Ar esate kažkas, kas mano, kad „Edge“ pasmerktas nesėkmei, ar galėtume ateityje pastebėti, kad jis taps rinkos lyderiu? Praneškite mums komentaruose.