par Martin Brinkmann, le 17 avril 2019 en matière de Sécurité, Windows – 13 commentaires
Microsoft a introduit Tuiles dans le Menu Démarrer de Windows et page de Démarrage, quand il a lancé le système d’exploitation Windows 8. Conçu pour ajouter une dynamique remarque précédemment statique de programmes, de services et de liens internet en soutenant des options pour charger de nouvelles tuiles régulièrement du contenu, c’est une fonctionnalité qui n’a jamais vu une large adoption par les utilisateurs de Windows.
Beaucoup ont été exposés à la liste par défaut des tuiles que Microsoft a ajouté de profils de Démarrage, ce qui n’a pas empêché Microsoft de l’ajout du support de Tuiles en Direct à Windows 10. Des sites web et des services de soutien à la fonction en tant que bien de sorte que les utilisateurs qui épinglé ces, à Commencer recevoir des mises à jour des tuiles à chaque fois qu’un nouveau contenu est devenu disponible. Tandis que les tuiles sont sur leur chemin, ils sont toujours pris en charge dans toutes les versions récentes de Windows.
Une histoire sur l’ordinateur allemand site Golem (en anglais) explique comment Golem a obtenu ses mains sur un domaine en charge de la Tuile de livraison de contenu pour les systèmes Windows, car Microsoft a échoué à protéger correctement contre ce qui est appelé un sous-domaine publique d’attaque.
La prise de contrôle a donné Golem plein contrôle sur le contenu qu’elle a livré à l’utilisateur des systèmes; Windows 8 et 10, les utilisateurs peuvent broches de soutien des sites web pour Commencer à recevoir des mises à jour lorsqu’un nouveau contenu est publié.
Golem a noté que des sites comme Engadget, Mail.ru ou la majeure allemand des sites de nouvelles Heise ou Giga, pris en charge carreaux comme des milliers d’autres.
Comment l’attaque a été menée
L’hôte responsable de la fourniture de données pour les périphériques Windows a été notifications.buildmypinnedsite.com Microsoft semble avoir abandonné le domaine et si, de rediriger un sous-domaine d’Azur, n’ont jamais enregistré avec Azure. Golem a réussi à inscrire le sous-domaine à l’aide d’un régulier d’Azur compte correspondant noms d’hôte à prendre le plein contrôle sur les Carreaux de service utilisé pour fournir du contenu pour les appareils d’un utilisateur.
Le magazine a contacté Microsoft sur la question, mais n’a pas reçu de réponse selon l’article. Il a noté que l’hôte a reçu une quantité décente de la circulation” et que le Golem ne serait pas garder l’hôte enregistrés de façon permanente en raison de coûts de fonctionnement.
Golem arrêté de l’application web dans l’intervalle, il renvoie une 403 cette application web est arrêté d’erreur maintenant, donc, qui a manipulé le contenu ne peut pas être remis à l’utilisateur des appareils à la fois.
Windows, les utilisateurs peuvent désactiver le site web de live tiles (voir ce tutoriel pour Windows 8 les Tuiles en Direct) s’ils utilisent tout comme une conséquence, et les propriétaires de sites web peuvent déposer soutien à la fonction afin de se protéger contre d’éventuels abus.
Le Mot De La Fin
Je n’ai jamais pensé beaucoup de Tuiles en Direct sur les versions de bureau de Windows. Alors que certaines fonctionnalités a été apprécié, par exemple, d’obtenir une mise à jour du rapport de temps par l’ouverture de Démarrer, plus de la fonctionnalité n’a pas beaucoup de sens sur le bureau, à mon avis.
Un scénario comme celui-ci ne doit jamais arriver, à mon avis, surtout pas si elle a le potentiel d’affecter les clients de façon négative.
Maintenant, Vous: Quelle est votre opinion sur les vignettes dynamiques, dynamique ou à carreaux en général?