Информационные технологии

Брешь в web-плеере Unity Web Player позволяет обойти кросс-доменную политику

Эксплуатация уязвимости позволяет атакующему использовать учетные данные жертвы для прочтения сообщений и иных действий.
Исследователь безопасности Йоуко Пиннонен (Jouko Pynnonen) раскрыл некоторые подробности бреши, обнаруженной им в игровом плагине Unity Web Player. Ее эксплуатация позволяет атакующему использовать учетные данные жертвы для прочтения сообщений и иных действий.
В течение шести месяцев после обнаружения уязвимости Пиннонен пытался связаться с разработчиком web-плеера компанией Unity Technologies, которая никак не реагировала на его сообщения. По словам специалиста, только вчера, 3 июня, Unity приняла информацию к сведению и сейчас работает над исправлением бреши.
Компания разрабатывает Unity Web Player параллельно с игровым движком Unity, который используется в играх для ПК (под управлением Windows и OS X), игровых консолей и мобильных устройств. По словам представителей Unity Technologies, плеер был загружен более 125 млн раз.
Как поясняет Пиннонен, для того, чтобы проэксплуатировать брешь, злоумышленнику сперва необходимо заманить жертву на web-сайт, на котором размещено вредоносное приложение Unity, или вставить его на легитимный ресурс. Данная уязвимость позволяет обойти кросс-доменную политику, которая препятствует доступу приложений к URL и другим ресурсам со сторонних web-сайтов или из локальной файловой системы. К примеру, эксплуатация данной уязвимости при использовании браузера Internet Explorer, позволит злоумышленнику прочитать локально хранимые файлы.
По словам специалиста, вредоносное приложение, загруженное с ресурса злоумышленника, «заставит» браузер осуществлять перенаправление на специально созданный адрес URL, что, по идее, должно быть запрещено приложением Unity.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Брешь в web-плеере Unity Web Player позволяет обойти кросс-доменную политику, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Инсайдерам Microsoft Edge канала Dev доступна новая версия браузера - 76.0.167.0 - 24.05.2019: STFW.Ru: Компания Microsoft продолжает интенсивно работать над своим новым браузером


•  Экс-помощнику госсекретаря США по делам Европы и Евразии Виктории Нуланд отказано в российской визе - МИД - 24.05.2019: STFW.Ru: МОСКВА, 23 мая. /ТАСС/. Экс-помощнику госсекретаря США по делам Европы и


•  ЦБ выступил против запрета микрофинансовых организаций - 24.05.2019: STFW.Ru: Я знаю, где-то обсуждалось, что надо запретить в принципе


•  Сенат США предлагает увеличить до $300 млн помощь Украине, "для борьбы с российской агрессией" - посольство США - 24.05.2019: STFW.Ru: Сенат США предлагает увеличить до $300 млн и существенно расширить помощь в


•  Пресловутые "Белые каски" в Сирии своей деятельностью не только уже нанесли существенный ущерб сирийскому мирному процессу, но и скомпрометировали международное гуманитарное движение - В.Небензя - 24.05.2019: STFW.Ru: ред. В. Небедзя в национальной индонезийской рубашке из уникальной ткани


•  Стали известны цены на флагманский смартфон Redmi K20 Pro - 24.05.2019: STFW.Ru: Сегодня в Сети появился слайд с укзанием версий грядущей новинки Redmi K20 Pro и