×
015-gmail-kalender-i-live-tiles.png
Microsoft har mistet kontrollen over en afgørende underdomæne, at Windows 8 og Windows-10 bruges til levering af RSS-baserede nyheder og opdateringer til Live Fliser –animerede Windows elementer i menuen start.
Det underdomæne (notifications.buildmypinnedsite.com) er i øjeblikket under kontrol af Hanno Böck, en sikkerheds-forsker og journalist for tysk tech nyheder Golem.de.
Underdomæne, som anvendes af websteder til at levere RSS nyheder
Det underdomæne, var en del af buildmypinnedsite.com service, at Microsoft oprettet med lanceringen af Windows 8, og mere specifikt at tillade websites at vise live opdateringer i brugernes Starte sider og menuer.
For at drage fordel af denne nye funktion, websteder, kan du tilføje en meta-tag til deres kildekode, der tillod Edge-brugere til at fastgøre en web-side til startsiden i Windows 8 og menuen Start i Windows 10.
×
windows-live-tiles-kant-menu.png
På klient-side, når en Windows-bruger åbnet Start-side/menu, deres computer ville læse meta-tag på det ønskede websted og derefter indlæse indholdet i live fliser.
Men fordi Windows Live Fliser service kunne ikke behandle de mange RSS-feed formater, lige siden lanceringen, Microsoft anbefalede, at hjemmesider bruger notifications.buildmypinnedsite.com underdomæne til at konvertere deres RSS-feeds til et særligt XML-format, som Windows Fliser vil fortolke og skabe animerede Live Tiles inde i Start-side/menu.
Tusindvis af hjemmesider tilføjet dette meta tag til deres kode, i håb om at drage fordel af en ny måde at nå ud til deres læsere.
Billede: ZDNet
×
windows-live-tiles-underdomæne.png
Men i dag Böck sagde service fungerer ikke længere.
“Værten, der skal levere de XML-filer, – notifications.buildmypinnedsite.com – kun viste en fejlmeddelelse fra Microsoft’ s cloud service-Azure,” forskeren sagde. “Værten blev omdirigeret til et underdomæne af Azure. Men dette underdomæne var ikke registreret med Azure.”
Böck registreret dette underdomæne på hans Azure konto og er i øjeblikket sinkholing alle anmodninger, der modtages. Han har også meddelt, at Microsoft på spørgsmålet, men sagde, at virksomheden ikke havde svaret.
“Vi vil ikke holde den vært der er registreret permanent. Der er en rimelig mængde trafik at nå denne vært og kører op på omkostningerne,” forsker sagde.
“Når vi annullere det underdomæne en dårlig skuespiller kunne registrere det og misbruger det for ondsindede angreb,” advarede han.
Enhver trussel skuespiller, der tager over dette domæne kan bruge det til at smede forkert udformet XML-filer, som kunne misbrug Windows Live Fliser til at køre kode på computere af brugere, der stadig har hjemmeside-baseret Live Fliser i deres Start-sider/menuer.
Böck er også at anbefale, at hjemmesider fjerne HTML meta-kode fra deres kildekode, eller give specielt formateret XML-filer, selv, uden at sende brugerne over til notifications.buildmypinnedsite.com underdomæne. Nogle af de websteder, der bruger denne omfatter underdomæne Mail.ru, Engadget, BGR, TenForums, Golem.de, Heise.de og andre.
Mere sårbarhed rapporter:
Dragonblood sårbarheder offentliggjort i WiFi WPA3 standardTens af tusindvis af biler blev efterladt udsat for tyvene på grund af en hardcodede adgangskode
Kaspersky: 70 procent af angreb nu målrette Kontor vulnerabilitiesInternet Explorer nul-dag lader hackere stjæler filer fra Windows PCsMicrosoft April Patch tirsdag kommer med rettelser til Windows nul-daysSome virksomhedens VPN-apps butik godkendelse/session-cookies insecurelyKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre