av Martin Brinkmann på April 17, 2019 i Sikkerhet, Windows – 13 kommentarer
Microsoft introduserte Fliser i Windows Start-Menyen og Starte en side når den lanseres Windows 8-operativsystemet. Designet for å legge til en dynamisk merke til tidligere statisk program, service og nettsted koblinger ved å støtte alternativer for å legge nye fliser innhold regelmessig, det var en funksjon som aldri så omfattende bruken av Windows-brukere.
Mange ble bare utsatt til standard liste av fliser som Microsoft lagt til Start-profiler, er dette ikke hindre Microsoft fra å legge til støtte for Live Tiles til Windows-10 som godt. Nettsteder og tjenester kan støtte funksjonen så godt slik at brukere som er festet disse til å Begynne vil motta oppdaterte fliser når nytt innhold ble tilgjengelig. Mens fliser er på vei ut, de er fortsatt støttes i alle nyere versjoner av Windows.
En historie på tysk datamaskin nettstedet Golem (på engelsk) beskriver hvordan Golem fikk sine hender på et domene som er ansvarlig for Flis innhold levering til Windows-systemer, fordi Microsoft ikke klarte å beskytte riktig mot det som kalles et underdomene overtakelse angrep.
Overtakelse ga Golem full kontroll over innholdet som er det levert til bruker systemer: Windows 8-og 10-brukere kan feste støtte nettsteder til å Starte med å motta oppdateringer når nye innholdet er publisert.
Golem bemerket at nettsteder som Engadget, Mail.ru eller de store tyske nyheter Heise eller Giga, støttet fliser, akkurat som mange andre.
Hvordan angrepet ble utført
Det vert ansvarlig for å levere data til Windows-enheter, var notifications.buildmypinnedsite.com Microsoft ser ut til å ha forlatt domene og mens det omdirigert det til et underdomene av Azure, aldri har registrert det med Azure. Golem klarte å registrere underdomenet ved hjelp av en vanlig Azure konto og lagt tilsvarende vertsnavn å ta full kontroll over Flisene tjeneste som brukes til å levere innhold til brukernes enheter.
Magasinet kontaktet Microsoft om problemet, men ikke får svar i henhold til artikkel. Det bemerkes at det vert fått en “anstendig mengde trafikk” og at Golem ikke ville holde vert registrert permanent på grunn av driftskostnadene.
Golem stoppet web app i mellomtiden, det gir en 403 denne web app er stoppet feil nå, så manipulert innholdet ikke bli levert til brukeren enheter på den tiden.
Windows-brukere kan det være lurt å deaktivere nettstedet live tiles (se denne opplæringen for Windows 8 Live Tiles) hvis de bruker alle som en konsekvens, og nettstedet eiere kan det være lurt å droppe støtte for funksjonen, samt for å beskytte mot mulige overgrep.
Avsluttende Ord
Jeg har aldri tenkt mye på Live Tiles på skrivebordet versjoner av Windows. Mens noen funksjonalitet ble satt pris på, f.eks. å få en oppdatert værmeldingen ved å åpne Start, mesteparten av funksjonaliteten som ikke gjør mye fornuftig på skrivebordet i min mening.
Et scenario som dette skulle aldri skje i min mening, spesielt ikke hvis den har potensial til å påvirke kunder negativt.
Nå er Du: Hva er din ta på Live Tiles eller dynamiske fliser generelt?