Slo-Tech - Raziskovalci z univerz v Austinu, Teksasu, Washingtonu, Illinoisu in Pittsburghu (CMU) so ugotovili, da so grafični čipi vseh šestih velikih proizvajalcev ( Apple, Intel, AMD, Qualcomm, ARM, Nvidia) ranljivi. Z doslej nepoznanim napadom lahko zlonamerna spletna stran prebere vsebino zaslona, kot ga izpisuje druga spletna stran na drugi domeni, s čimer se krši ena osnovnih zapovedi varnosti na internetu. Napad so poimenovali GPU.zip in ga temeljito opisali v članku. Podrobno jo bodo predstavili tudi na konferenci 45th IEEE Symposium on Security and Privacy, ki bo prihodnje leto maja v San Franciscu.
V delujočem konceptu so prikazali, kako ranljivost deluje. Zlonamerna spletna stran vsebuje element, ki skuša brati iz elementa iframe. V normalnih okoliščinah je to mogoče le, če imata oba elementa isti vir (isto domeno). Raziskovalci pa so pokazali, da je zaradi stiskanja podatkov, ki ga GPU-ji uporabljajo za izboljšanje zmogljivosti, možno posamezne piksle na zaslonu krasti enega po enega. Gre za tipičen napad po metodi side channel. Ker je kompresija, ki jo izvajajo posamezni čipi, nedokumentirana, so morali raziskovalci z vzvratnim inženiringom za vsakega izmed njih ugotoviti, kako ga zlorabiti. Za zdaj ne kaže, da bi bila ranljivost resno varnostno tveganje. Deluje le v brskalniki, ki omogočajo nalaganje ustreznega iframe (cross-platform) s piškotki, dovoljujejo izris datotek SVG v iframe in za izris uporabljajo GPU.
Novice » Varnost » Ranljivost v grafičnih karticah spletnim stranem omogoča krasti zaslonsko sliko
FireSnake ::
Tukaj bomo pa uporabili samo dve besedi: zelo amatersko.
Poglej in se nasmej: vicmaher.si
bojsi ::
Deluje le v brskalniki, ki omogočajo nalaganje ustreznega iframe (cross-platform) s piškotki, dovoljujejo izris datotek SVG v iframe in za izris uporabljajo GPU.
Torej velja za Chrome in Edge, pri Firefox in Safari pa kot kaže ne gre skozi.
For GPU.zip to work, a malicious page must be loaded into the Chrome or Edge browsers. Under-the-hood differences in the way Firefox and Safari work prevent the attack from succeeding when those browsers process an attack page. Another requirement is that the page linked to in the iframe must not be configured to deny being embedded by cross-origin websites.
Zgodovina sprememb…
- spremenil: bojsi ()
Glugy ::
Hvala bogu za Firefox. Eden redkih ki ne temeljijo na Googlovem pogonskemu motorju. Monopol nikol ni dobr.
Horas ::
Hvala bogu za Firefox. Eden redkih ki ne temeljijo na Googlovem pogonskemu motorju. Monopol nikol ni dobr.
this! sam ga uporabljam že od samega zsčetka 2004
8700k+z390, 32gb 3600mhz, 1080ti, 700w gold, 512gb+2x250gb m.2 nvme + 2tb hdd
8500+b360, 32gb 2666mhz, rx 6600, 600w bronze, 512gb+250gb ssd m.2 + 2tb hdd
8500+b360, 32gb 2666mhz, rx 6600, 600w bronze, 512gb+250gb ssd m.2 + 2tb hdd
DamijanD ::
Danes zjutraj, ko je ST imel nek problem s certifikatom sem na stran prišel samo s FF, Chrome in Edge me nista pustila.
mtosev ::
Tudi jaz sem na firefoxu.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
kixs ::
Ahim ::
Danes zjutraj, ko je ST imel nek problem s certifikatom sem na stran prišel samo s FF, Chrome in Edge me nista pustila.
Ne vem. Mene ni FF niti WaterFox spustil naprej. Lahko sem videl le podatke o certifikatu.
Ponudi ti moznost, da napaki navkljub stran obisces (ekvivalent opcije -k za curl).
Phantomeye ::
Hvala bogu za Firefox. Eden redkih ki ne temeljijo na Googlovem pogonskemu motorju. Monopol nikol ni dobr.
To drži, ampak ni jim pa težko vzet googlovih milijonov:
https://www.zdnet.com/article/sources-m...
Zgodovina sprememb…
- spremenilo: Phantomeye ()
Karamelo ::
filip007 ::
Vivaldi se mi zdi, da je končno uporaben in hiter kot ostali, ko ga enkrat malo nastaviš.
Prenosnik, konzola, TV, PC upokojen.
sbawe64 ::
Danes zjutraj, ko je ST imel nek problem s certifikatom sem na stran prišel samo s FF, Chrome in Edge me nista pustila.
Pozabili podaljšati certifikat
https://www.ssllabs.com/ssltest/analyze...
utc je 2 uri nazaj od gtm+1
https://www.timeanddate.com/worldclock/...
torej so uredili ob 9:30:15 ipv4 oz. 9:31;48 za ipv6
2020 is new 1984
Corona World order
Corona World order
Ahim ::
Phantomeye je izjavil:
Hvala bogu za Firefox. Eden redkih ki ne temeljijo na Googlovem pogonskemu motorju. Monopol nikol ni dobr.
To drži, ampak ni jim pa težko vzet googlovih milijonov:
https://www.zdnet.com/article/sources-m...
... za to da je privzeti iskalnik Google, in da posledicno lahko financirajo razvoj.
Google nima nobene zveze s pogonom brskalnika, razen da preko tega dogovora "placuje" njegov razvoj.
Phantomeye ::
Phantomeye je izjavil:
Hvala bogu za Firefox. Eden redkih ki ne temeljijo na Googlovem pogonskemu motorju. Monopol nikol ni dobr.
To drži, ampak ni jim pa težko vzet googlovih milijonov:
https://www.zdnet.com/article/sources-m...
... za to da je privzeti iskalnik Google, in da posledicno lahko financirajo razvoj.
Google nima nobene zveze s pogonom brskalnika, razen da preko tega dogovora "placuje" njegov razvoj.
Seveda ne, samo pravim, da FF tezko "razbija" monopol, glede na to, da ga konkurenca futra (pa pustmo to, da je tržni delež zadnja leta precej zanemarljiv, ene 3 %). FF bolj potrebuje Googlov denar, kot pa Google potrebuje, da je google privzet iskalnik na FF. Vsaj ne več. Kar pomeni, da bi Google lahko reku - čuj FF, od zdej naprej bo FF laufal na Chromniumu, drgač ne bo več denarja.
Zgodovina sprememb…
- spremenilo: Phantomeye ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Enolično prepoznavanje brez piškotkov in naslova IPOddelek: Novice / Zasebnost | 7418 (5191) | Horejšio |
» | Ranljivost v Chromu omogoča prisluškovanje uporabniku prek mikrofonaOddelek: Novice / Varnost | 14607 (11705) | imagodei |
» | Google namerno zaobšel nastavitve brskalnika Safari, da je lahko sledil uporabnikomOddelek: Novice / Zasebnost | 17920 (15100) | bojsi |
» | wifi routerOddelek: Strojna oprema | 1237 (1096) | FrancBula |