beplay体育能用吗使用Windows 8的实时瓷砖的网页应删除元标记
更新可以操纵用于Windows 8的废弃新闻应用程序以显示攻击者选择的内容,使用户容易受到邪恶活动的影响,包括对公司品牌的损害。
子域的接管攻击 - 实际上是在停止服务未正确删除的情况下发生的,这源于Microsoft Windows 8的实时瓷砖功能。
Live Tiles是一个交互式应用程序,可为用户提供来自其喜欢的应用程序或网站(例如Weather App)中的信息段。beplay体育能用吗支持该功能的应用程beplay体育能用吗序和网站通过XML文件进行,该文件是通过通过buildMypinnedsite.com向网站源代码添加元标签而创建的。
据报道,微软由于缺乏吸收而在Windows 8中禁用了Live Tiles应用程序,但忘记删除其Cname Records,该记录是使用该服务的子域和主机的名称服务器条目。
这项监督使安全研究人员和记者HannoBöck能够通过主机通知控制内容。BuildMypinnedSite.com - 允许应用程序和网站可以在其源代码中添加元标签的子域,从而为用户提供实时更新。beplay体育能用吗
“尽管服务beplay体育能用吗不再起作用,但允许创建相应[Windows Live Tiles]元标记的网页仍在网上。”他的报告对于德国技术新闻平台Golem.de。
“应该传递XML文件的主机 - notification.buildmypinnedsite.com-仅显示Microsoft的Cloud Service Azure中的错误消息。”
Böck和他的团队能够使用标准的Microsoft Azure帐户来注册通知。BuildMypinnedSite.com子域,并控制仍在Windows Tiles Live Service注册的网站的内容,包括Engadget,Mail.ru和德国新闻网站Heise在线和在线和在线和德国新闻网站beplay体育能用吗千兆。
Bbeplay体育能用吗öck说:“包含这些元标记的网页应将其删除,或者如果要保留功能,请自己创建相应的XML文件。”他补充说,他们已将问题告知Microsoft,但尚未收到响应。
他警告说:“一旦我们取消了子域,坏演员就可以将其注册并滥用恶意袭击。”
微软的发言人告诉每日swbeplay2018官网ig:“我们已经解决了这个问题,并删除了子域。”
本文已更新以包括Microsoft的评论。
