Un ordinateur peut-il être infecté par un logiciel malveillant via un navigateur Web?
9
Un ordinateur peut-il être infecté lorsqu'il accède à une page Web malveillante?
Pourquoi un navigateur Web n'est-il pas sûr à 100%? Quelles ressources Web, telles que Java Script, Flash ou une connexion HTTP, peuvent infecter un ordinateur?
Oui, vous pouvez. Habituellement, un programme antivirus approprié intercepte ces tentatives. Bien sûr, les navigateurs n'ont pas de portes dérobées / vulnérabilités «intégrées», mais elles peuvent néanmoins exister. Lorsqu'une telle vulnérabilité est détectée par un pirate ou un autre utilisateur malveillant, cette vulnérabilité peut être exploitée pour infecter le visiteur de la page Web.
Si quelque chose pouvait être sécurisé à 100%, il n'y aurait aucun besoin de programmes antivirus. Il existe toujours une solution créative qui peut de toute façon infecter les gens et un tel exploit ne peut être corrigé qu'après avoir été découvert.
C'est comme taper un livre entier sur votre clavier, sans vérifier les fautes de frappe. Vous ne découvrirez vos erreurs que lorsque vous commencerez à lire / réviser ce que vous avez tapé. Lire dans ce cas, ce serait simplement "utiliser" le navigateur.
La plupart des exploits se trouvent dans des plugins tiers (tels que Flash, plugins de lecteur PDF, médias, etc.), de sorte que les responsables du navigateur n'ont pas le contrôle total sur ce qui est exécuté dans leur navigateur. C'est comme avoir une maison construite par 4 entrepreneurs différents qui ne savent pas exactement sur quoi les autres travaillent ou comment ils le font ...
J'aime l'implication que la métaphore a; "le code est écrit du début à la fin sans être lu": P
RJFalconer
@RJFalconer C'est vrai non;)? Au moins, vous ne trouverez pas la plupart des bugs tant que vous ne l'avez pas exécuté ...
BloodPhilia
Je voudrais connaître d'anciens exploits de Firefox et comprendre
Squall
@Squall il y a plusieurs exploits qui ont été rendus publics. Essayez de googler pour "exploiter le plugin add-on firefox"
BloodPhilia
3
Je ne suis pas d'accord. 99,99% du temps, l'utilisateur télécharge et exécute des ordures. Et non, un antivirus ne peut pas intercepter des exploits inconnus.
Une réponse courte est que le logiciel est compliqué, exige la perfection et que les humains sont imparfaits. Avec des ressources limitées, la concurrence et des connaissances limitées, de nombreux développeurs de logiciels font de leur mieux. Ceux qui prennent soin de produire des logiciels encore plus sécurisés ne pourront jamais rivaliser - leurs produits seront plus chers, tardifs sur le marché, auront moins de fonctionnalités, etc. D'un autre côté, la sécurité devient une considération importante pour le client; Bien que les clients (et la plupart des développeurs) ne puissent pas savoir ce qui est sécurisé en le regardant, il existe des experts, des analystes et des tendances historiques qui nous renseignent sur la sécurité et nous aident à prendre de meilleures décisions concernant les produits que nous achetons et utilisons.
Parfois, les produits plus sécurisés seront plus chers ou manqueront d'autres qualités que nous désirons au-delà du simple coût (fonctionnalités, convivialité, performances, etc.).
Dans le monde de la sécurité des logiciels, nous acceptons généralement que si un adversaire dispose de suffisamment de financement, de motivation et / ou de ressources, rien n'est vraiment sûr.
La sécurité coûte de l'argent et c'est un compromis.
Le terme «infection en voiture» décrit le processus de malware (logiciel malveillant exécutant des activités nuisibles contre la volonté des utilisateurs) infectant l'ordinateur d'un utilisateur simplement en visitant un site Web. Les sites Web concernés contiennent souvent des offres légitimes, mais ont été compromis par des pirates informatiques qui introduisaient du code malveillant sur le site Web pour ensuite diffuser des logiciels malveillants. Il suffit de surfer sur un site Web affecté pour infecter un ordinateur.
J'étais sûr que tous les trous de sécurité d'aujourd'hui étaient corrigés. J'avais tort.
Pour preuve, vous pouvez lire les bulletins de sécurité de Microsoft . Sur l'onglet de gauche, il y a des bulletins de sécurité par années où vous pouvez trouver des correctifs IE et Edge. Vous pouvez trouver que sur chacun, ou presque chaque mois, soit les plus récents, il y a des correctifs pour IE et / ou Edge. Je suis sûr qu'il existe des bulletins équivalents pour les autres navigateurs (avec plus ou moins de correctifs).
Réponses:
Oui, vous pouvez. Habituellement, un programme antivirus approprié intercepte ces tentatives. Bien sûr, les navigateurs n'ont pas de portes dérobées / vulnérabilités «intégrées», mais elles peuvent néanmoins exister. Lorsqu'une telle vulnérabilité est détectée par un pirate ou un autre utilisateur malveillant, cette vulnérabilité peut être exploitée pour infecter le visiteur de la page Web.
Si quelque chose pouvait être sécurisé à 100%, il n'y aurait aucun besoin de programmes antivirus. Il existe toujours une solution créative qui peut de toute façon infecter les gens et un tel exploit ne peut être corrigé qu'après avoir été découvert.
C'est comme taper un livre entier sur votre clavier, sans vérifier les fautes de frappe. Vous ne découvrirez vos erreurs que lorsque vous commencerez à lire / réviser ce que vous avez tapé. Lire dans ce cas, ce serait simplement "utiliser" le navigateur.
La plupart des exploits se trouvent dans des plugins tiers (tels que Flash, plugins de lecteur PDF, médias, etc.), de sorte que les responsables du navigateur n'ont pas le contrôle total sur ce qui est exécuté dans leur navigateur. C'est comme avoir une maison construite par 4 entrepreneurs différents qui ne savent pas exactement sur quoi les autres travaillent ou comment ils le font ...
la source
Bourrasque,
Le logiciel est intrinsèquement difficile à obtenir correctement. Pour un aperçu de pourquoi, je recommande un article de Cem Kaner, un testeur logiciel expert. L'article s'intitule « L'impossibilité de réaliser des tests complets ». Lisez également son article sur " La négligence des logiciels et la couverture des tests "
Une réponse courte est que le logiciel est compliqué, exige la perfection et que les humains sont imparfaits. Avec des ressources limitées, la concurrence et des connaissances limitées, de nombreux développeurs de logiciels font de leur mieux. Ceux qui prennent soin de produire des logiciels encore plus sécurisés ne pourront jamais rivaliser - leurs produits seront plus chers, tardifs sur le marché, auront moins de fonctionnalités, etc. D'un autre côté, la sécurité devient une considération importante pour le client; Bien que les clients (et la plupart des développeurs) ne puissent pas savoir ce qui est sécurisé en le regardant, il existe des experts, des analystes et des tendances historiques qui nous renseignent sur la sécurité et nous aident à prendre de meilleures décisions concernant les produits que nous achetons et utilisons.
Parfois, les produits plus sécurisés seront plus chers ou manqueront d'autres qualités que nous désirons au-delà du simple coût (fonctionnalités, convivialité, performances, etc.).
Dans le monde de la sécurité des logiciels, nous acceptons généralement que si un adversaire dispose de suffisamment de financement, de motivation et / ou de ressources, rien n'est vraiment sûr.
La sécurité coûte de l'argent et c'est un compromis.
la source
Oui, ceux-ci sont appelés "conduire par des infections" .
Pourquoi un navigateur Web n'est pas sûr à 100%? Premier exemple ici
Voir une vidéo d'une infection drive-by en action ici:
http://www.youtube.com/watch?v=9_PYdgwkxx0
la source
J'étais sûr que tous les trous de sécurité d'aujourd'hui étaient corrigés. J'avais tort.
Pour preuve, vous pouvez lire les bulletins de sécurité de Microsoft . Sur l'onglet de gauche, il y a des bulletins de sécurité par années où vous pouvez trouver des correctifs IE et Edge. Vous pouvez trouver que sur chacun, ou presque chaque mois, soit les plus récents, il y a des correctifs pour IE et / ou Edge. Je suis sûr qu'il existe des bulletins équivalents pour les autres navigateurs (avec plus ou moins de correctifs).
la source