Blink в Google Chrome до 56.0.2924.76 для Linux, Windows и Mac и 56.0.2924.87 для Android не смог предотвратить отображение определенных эл…
Blink в Google Chrome до 56.0.2924.76 для Linux, Windows и Mac и 56.0.2924.87 для Android не смог предотвратить отображение определенных элементов пользовательского интерфейса невидимыми страницами, что позволяло удаленному злоумышленнику показывать определенные элементы пользовательского интерфейса на странице, которую они не контролируют, через специально созданную HTML-страницу.
Веб-приложение не ограничивает или некорректно ограничивает объекты фреймов или слои пользовательского интерфейса, принадлежащие другому приложению или домену, что может привести к путанице у пользователя относительно того, с каким интерфейсом он взаимодействует.
https://cwe.mitre.org/data/definitions/1021.html →Открыть в коллекции CWE →Злоумышленник вынуждает жертву неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой — как правило, подконтрольной злоумышленнику или специально созданной им — системы.
https://capec.mitre.org/data/definitions/103.html →Открыть в коллекции CAPEC →Злоумышленник создаёт прозрачный оверлей с использованием Flash для перехвата действий пользователя с целью осуществления кликджекинг-атаки. При данной технике Flash-файл создаёт прозрачный оверлей поверх HTML-содержимого. Поскольку Flash-приложение находится поверх содержимого, действия пользователя — например, нажатия кнопок — перехватываются Flash-приложением, а не находящимся под ним HTML. Действие затем интерпретируется оверлеем для выполнения тех действий, которых хочет злоумышленник.
https://capec.mitre.org/data/definitions/181.html →Открыть в коллекции CAPEC →При атаке с наложением iFrame жертва обманом вынуждается неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой системы.
https://capec.mitre.org/data/definitions/222.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует ожидаемую или стандартную задачу с целью кражи конфиденциальной информации или получения привилегий пользователя.
https://capec.mitre.org/data/definitions/504.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение отображает интерфейс, вводящий пользователя в заблуждение и побуждающий нажать на нужное злоумышленнику место на экране. Зачастую это достигается путём наложения одного экрана поверх другого с видимостью единого интерфейса. Существует два основных метода достижения этого. Первый — использование свойства прозрачности, позволяющего нажатиям на экран проходить сквозь видимое приложение к приложению, работающему в фоновом режиме. Второй — стратегическое размещение небольшого элемента (например, кнопки или текстового поля) поверх видимого экрана таким образом, чтобы он воспринимался как часть нижележащего приложения. В обоих случаях пользователь нажимает на экран, не осознавая, с каким приложением взаимодействует.
https://capec.mitre.org/data/definitions/506.html →Открыть в коллекции CAPEC →Данный шаблон атаки сочетает вредоносный JavaScript и легитимную веб-страницу, загруженную в скрытый iframe. Вредоносный JavaScript получает возможность взаимодействовать с легитимной веб-страницей способом, незаметным для пользователя. Как правило, атака предполагает элемент социальной инженерии: злоумышленник должен убедить пользователя посетить веб-страницу под его контролем.
https://capec.mitre.org/data/definitions/587.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует запрос учётных данных с целью кражи учётных данных пользователя.
https://capec.mitre.org/data/definitions/654.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| chromium-browser | Отслеживается | |
| oxide-qt | Отслеживается | |
| oxide-qt | Отслеживается | |
| oxide-qt | Отслеживается | |
| oxide-qt | Отслеживается | |
| chrome | * | Отслеживается |