PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)
-   -   Windows及Chrome被爆有憑證外洩漏洞! (https://www.pcdvd.com.tw/showthread.php?t=1129132)

tohotsony 2017-05-21 12:08 PM

Windows及Chrome被爆有憑證外洩漏洞!
 
http://www.ithome.com.tw/news/114279

來自DefenseCode的資安工程師Stankovic本周披露,結合微軟Windows及Chrome的安全漏洞將允許駭客竊取Windows用戶的憑證。

這兩個漏洞皆與Windows及Chrome瀏覽器處理SCF檔案的方式有關。SCF為介殼命令檔(Shell Command File),主要用來開啟檔案總管或是顯示桌面,由於它也會存取圖示檔案,所以當有心人士建立一個惡意的SCF檔,並將圖示檔案置放在由駭客代管的遠端SMB伺服器上時,SMB伺服器即可藉由Windows的自動認證機制取得使用者的登入密碼。

Stankovic指出,若Windows 8或Windows 10用戶以微軟帳號(Microsoft Account )作為系統的登入憑證,那麼該SMB伺服器等於一次就取得了登入OneDrive、Outlook.com、Office 365、Skype或Xbox Live的密碼。即使這些密碼是加密的,但駭客也能利用開放源碼工具加以解密。

至於惡意SCF檔案進入Windows的管道則是Chrome瀏覽器,因為SCF被Chrome視為安全的檔案,不需任何使用者互動即會自動下載,再加上有不少網站都含有反射性檔案下載(Reflected File Download)漏洞,在Chrome用戶造訪網站並不小心觸發該漏洞時,Chrome就會默默且自動地下載SCF檔案。

其實之前Windows中的捷徑檔(LNK)也曾出現類似的安全漏洞,還成為Stuxnet蠕蟲的攻擊途徑,微軟修補LNK漏洞的方式即是限制LNK只能自本地端載入圖示檔案,只是此一修補並未擴及SCF。

此外,除了Chrome之外,不論是IE、Edge、Firefox或Safari等瀏覽器都不會在未提醒使用者的狀況下直接下載SCF檔案,該漏洞影響所有的Windows版本以及最新的Chrome瀏覽器。

tohotsony 2017-05-21 12:32 PM

如果要取代Chrome
有沒有推薦的

OscarShih 2017-05-21 12:33 PM

mac safari

tohotsony 2017-05-21 12:40 PM

Safari Windows版停止開發了

Firefox 好用嗎?

Dz6810 2017-05-21 12:59 PM

問題是出在微軟對微軟帳號的處理,
而不是Chrome吧.

tohotsony 2017-05-21 02:00 PM

因為SCF被Chrome視為安全的檔案,不需任何使用者互動即會自動下載
再加上有不少網站都含有反射性檔案下載漏洞,在Chrome用戶造訪網站
並不小心觸發該漏洞時,Chrome就會默默且自動地下載SCF檔案

blackleo 2017-05-21 02:59 PM

引用:
作者tohotsony
Safari Windows版停止開發了

Firefox 好用嗎?



FF如果不好用

其他瀏覽器都要填海了 :laugh:


但有前提是

你要知道怎麼用………(擴充套件) :D

pvd1985 2017-05-21 03:12 PM

引用:
作者tohotsony
Safari Windows版停止開發了
Firefox 好用嗎?

如果不裝一堆擴展的話
edge其實很好用
而且現在edge也可以在市集裝不錯的擴展了
用Firefox網頁相容性出問題較大
我自己就用Firefox,因為很多擴展其他瀏覽器無法替代
但是還是有些網頁必須用到edge(不多但是有)

jerry20530 2017-05-21 03:18 PM

引用:
作者blackleo
FF如果不好用

其他瀏覽器都要填海了 :laugh:


但有前提是

你要知道怎麼用………(擴充套件) :D


雙槍不是比較方便嗎 不要說套件

要安全沒有 不能掛記憶體、RAMDISK 緩衝的 才要直接填海........


所有的時間均為GMT +8。 現在的時間是06:15 AM.

vBulletin Version 3.0.1
powered_by_vbulletin 2024。