Výchozí prohlížeč Androidu obsahuje kritickou zranitelnostProhlížeč integrovaný v operačním systému Android je kriticky zranitelný. Umožňuje totiž útočným stránkám přistupovat k obsahu ostatních stránek.
Bezpečnostní slabina androidího prohlížeče se nachází v klíčovém mechanismu prohlížeče – tzv. Same Origin Policy. Ten se mimo jiné stará o to, aby skripty z jedné stránky nemohly přistupovat k obsahu ostatních stránek otevřených v prohlížeči. Skripty tak mají pouze číst a upravovat webové prvky, které pochází ze stejného zdroje jako samy skripty. A zdroj se indentifikuje pomocí portu, domény a protokolu.
Kritická zranitelnost však umožňuje prolomení Same Origin Policy. Ke zneužití zranitelosti stačí přidat do javascriptového rámce pouze NULL byte a útočný skript může bez dalších omezení získavat data z jiných webů a pracovat s nimi. Jakákoliv navštívená webová služba může být tedy napadnuta a její data ukradena. Pomocí této zranitelosti Same Origin Policy mohou být unesena sezení, ukradeny hesla a citlivá data, zjištěny všechny údaje o navštívených webech a operacích na nich provedených. Ohroženy jsou i produkty třetích stran, které prohlížeč AOSP (Android Open Source Project) používají v rámci svých aplikací. Někteří uživatelé jej dokonce nainstalovali i na Android 4.4, v němž je defaultním prohlížečem Chrome. Bezpečnostní expert Rafay Baloch objevení zranitelnosti Googlu nahlásil již v srpnu. Společnost mu odpověděla, že se danou zranitelost nepodařilo zreprodukovat a považola celou věc za uzavřenou. Další aktivitu začala vyvíjet teprve poté, co Baloch celou věc zveřejnil na svém blogu a vyvinul framework, který slabinu umožňuje testovat. Google už by měl mít hotovy záplaty této zranitelnosti, není ovšem jasné, jak je bude distribuovat. Klasický AOSP prohlížeč byl totiž součástí systému Android, nikoliv samostatná aplikace stáhnutelná a aktualizovatelná přes obchod Google Play. Do té doby je nejlepší obranou přejít na jiný prohlížeč, optimálně nezaložený na AOSP. Zdroje: Forbes.com, Android Headlines
Daniel Beránek, 23.09.2014 21:15 Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké... Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na... Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde?
... Nejhorší je, když najdete filmovou perlu, ale nemáte k ní titulky. A když už je najdete, tak nesedí. A i když ve VLC posunete jejich časování vůči časování zvukové stopy, tak se ty stopy neustále rozcházejí - a to dokonce nikoliv symetricky. To pak... |
