Guardare il concorso Pwn2Own mi ha fatto riflettere:
Se hai tutti i plug-in disattivati su un browser e tutto ciò che hai è HTML, CSS e JavaScript in esecuzione nel browser, puoi ancora essere infettato da malware? Suppongo di non aver mai pensato molto, ma come mai questi virus possono "installarsi"? Se disinstalli questi plugin e chiedi al tuo browser di richiedere tutti i download, dovresti essere "sicuro" giusto?
Anche con Html, CSS e javascript, un utente malintenzionato o un sito malintenzionato potrebbe ancora tentare di sfruttare i bug nel browser che consentirebbero loro di sfruttare una macchina. Oppure crea finestre di dialogo e cerca di indurre un utente a consentire il permesso di installare malware. Questo è stato un esempio che ho trovato su google con l'installazione di javascript e malware. Se qualcosa plugins crea una superficie di attacco più ampia, ma senza di loro non elimina la superficie di attacco relativa al browser che usi. Ad esempio, se esiste una vulnerabilità del browser che consente l'esecuzione di codice in modalità remota, un sito Web dannoso potrebbe potenzialmente utilizzare javascript per sfruttare la vulnerabilità. Spero che ne aiuti qualcuno.
Essenzialmente tutte le vulnerabilità BROWSER (ad esempio non Vulns. in plugin come java o flash) coinvolgono e si basano su JavaScript (JS) in esecuzione. Questo perché JS è incredibilmente potente. Quando visiti una pagina web con JS, esegui il programma di qualcuno sul tuo computer. È il tuo browser che interpreta JS e decide cosa fare. Dal momento che è un linguaggio così ampio, potente e complesso, lascia un sacco di bug nell'implementazione che potenzialmente si trasformano in vulnerabilità.
Una risposta è stata accettata qui, tuttavia non credo che le risposte fornite rispondano molto bene alla domanda.
Classicamente, l'asset preso di mira dal malware era la stessa macchina in cui il malware è schierato, ma in un mondo in rete non è più così. Se javascript o anche solo HTML in alcuni casi viene caricato ed elaborato da un browser, può avere effetti indesiderati senza dover essere installato o memorizzato sulla macchina della vittima - potrebbe essere indirizzato a un servizio su una macchina diversa, ad es.
Nota che prima e secondo non richiedono nemmeno javascript.
Se il browser (o plugin) che processa il potenziale malware presenta vulnerabilità di sicurezza, il malware può sfruttarli per danneggiare il sistema client e / o distribuire se stesso / ulteriore malware direttamente sullo storage a lungo termine dei client.
In primo luogo, un sito Web dannoso può riempire il tuo hard disk utilizzando localStorage (vedi FillDisk , assicurati di fare clic su "stop" questo pulsante "follia" prima di lasciare il sito. Oppure non fare clic su quel collegamento e vedere la spiegazione qui ). Non credo ci siano stati casi di malware salvati su un computer tramite localStorage , poiché i dati sono inseriti in un piccolo database.
Oltre a ciò, su Chromium / Firefox, un sito Web può farti scaricare e installare un'estensione / userscript. Viene richiesta prima la conferma, ma una volta installata l'estensione, potenzialmente ha accesso a tutti i dati su tutti i siti (incluse le password).
Su Chrome, è più difficile forzare l'installazione di un'estensione poiché puoi installarla solo tramite Chrome Web Store, anche se qualcuno potrebbe essere in grado di aggirare questo problema tramite un clickjacking intelligente.
Un'altra cosa che JS può fare è lanciare un'applicazione (come iTunes o Ubuntu Software Center) tramite uno schema di URL personalizzato, e se si dispone di un'applicazione di downloader (o qualcosa che può essere usata come una), questo può essere sfruttabile. Ciò richiede tuttavia conferma.
A parte ciò, JS non può ottenere EXE / etc sul tuo computer.
Leggi altre domande sui tag javascript malware attack-vector