Bezpečnostní experti z Cornellovy univerzity tento týden odhalili nový útok, který by prostřednictvím webového prohlížeče mohl teoreticky ohrozit jak počítače s operačním systémem macOS, tak i stroje s operačním systémem Windows. Na rozdíl od ostatních útoků, ke kterým také dochází prostřednictvím webového prohlížeče, není v tomto konkrétním případě použit JavaScript.
Mohlo by vás zajímat
Jedná se o první odhalený útok tohoto druhu. Namísto JavaScriptu, který je v takových případech běžně využíván, je útok postavený kompletně s pomocí programovacích jazyků CSS a HTML. Zmíněný útok může potenciálně ohrozit také nové Macy s jablečnými procesory M1. Ty mohou být navíc podle expertů vůči této nové hrozbě ještě o něco více zranitelnější než starší modely. Útok je podle všeho zcela univerzální a cílí na všechny možné architektury, ať už jde o Samsung, AMD, nebo dokonce již zmíněné nové čipy od Applu. „Je ironií, že ukazujeme, že tyto útoky mají mnohdy věští efekt u novějších CPU od Applu a Samsungu v porovnání s jejich důkladně prozkoumanými protějšky od Intelu,“ uvedli experti z Cornellovy univerzity, a dodali, že na vině mohou být zjednodušené zásady vyměňování mezipaměti. K útoku bohužel může dojít v případě, že si uživatelé na svých webových prohlížečích zablokují JavaScript. Útok také ignoruje propracovanější prohlížeče typu Tor, stejně jako VPN připojení. Cílem útoku je nepozorovaně sledovat aktivitu uživatele na webu bez jeho souhlasu nebo vědomí.
V bezpečí nejsou ani počítače s procesory M1 od Applu:
Fotogalerie
CSS a HTML nie sú programovacie jazyky (CSS = kaskádové štýly a HTML je len zobrazovací značkový jazyk), takže ak ich použili na útok, využili nejakú chybu v ich implementácii, tak ako sa píše nižšie, t.j. až na úrovni spracovania, takže chyba nie je v CSS a HTML, ale inde…