Хакер придумал способ взлома сайтов при помощи текстовых файлов

21 марта 2019 | 13:50

«Белый хакер» по кличке Polict обнаружил в генераторе PDF-файлов TCPDF опасную уязвимость, которая позволяет взламывать сайты.

Об этом он написал в своем блоге.

Библиотека TCPDF используется множеством сайтов: с ее помощью код HTML можно преобразовать в PDF-документ. Для того чтобы воспользоваться уязвимостью, киберпреступники должны либо вмешаться в процесс генерации, либо самостоятельно встроить в HTML вредоносный код.

Ошибка получила код CVE-2018−17 057. Использовать брешь в атаке достаточно сложно, однако в случае успеха хакеры получают полный контроль над скомпрометированным сайтом.

Polict обнаружил проблему в TCPDF еще летом 2018 года и сообщил о находке сотрудникам компании-производителя. Для устранения ошибки им пришлось дважды обновлять свой продукт.

Уточним, что «белыми» называет хакеров, которые не наносят вред окружающим и зачастую сотрудничают с компаниями, которые занимаются разработкой антивирусного и защитного ПО.

Как сообщал Realist, ранее эксперты обнаружили в Windows критическую уязвимость, облегчающую доступ хакерам.