Ne. V článku na TheHackerNews, kam odkazuje CSIRT, je možné vidět ukázku kódu ukrytého v SVG a screenshot FB Messengeru, kde je vidět zpráva s odkazem na SVG.
Ten súbor mám stále medzi správami na FB. Prišiel mi ako: "photo_5581.svg".
VirusTotal detekcie (SVG súbor):
https://www.virustotal.com/sk/file/576fe51fd6af962755b64ab1d1f68dacd372118eda7f3c85750cfabfbf2a2f2c/analysis/1479678481/
A odkazovalo to na web (VirusTotal web scan):
https://www.virustotal.com/sk/url/0d6788b8d40067146e73958a8484f02fcd1929ecf82cba200318ae8dd428cf57/analysis/
Samotný "cinknutý" SVG neobsahuje škodlivý kód Locky pouze směruje uživatele na webové stránky kde je.
....If clicked, the malicious image file would redirect you to a website mimicking YouTube, but with completely different URL.
Like a typical way to deliver malware infection, the site would push a popup, asking you to download and install a certain codec extension in Google Chrome in order to view the video....
Stránek obsahujících scrypty který přesměrovává na spam,scam stránky je mnoho. Nabízejí video přehrávače, kodeky, antiviry pro váš telefon je mnoho, mužete vyhrát iPhujtabl, čističe paměti, "zlepšovače" baterek a spoustu jiné špíny. Myslím minulí měsíc měli otrávenou reklamní farmu i na zivecz .
Ale samotný krok nainstalování malware je až na uživateli. A pokud nemá výchozí prohlížeč chrome a nemá povolenou instalaci mimo GPLAY.....
Ve standardu to není, ale v implementaci můžou být nějaké chybky. Ale on to asi nikdo z těch zdrojů neví, co se dělo, a opisovali pojmy s dojmy jeden od druhého.
"Zároveň kód obsahuje downloader..." Kód čeho?
"Pokud uživatel na soubor klikne, může být infikován..." Pokud uživatel vstane z postele, může na něj před domem spadnout klavír.
"If clicked, the file would eventually infect your PC..."
"One of my security colleagues had in fact noticed similar behavior and got ransomware as payload"
atd...
Ze stejného důvodu, jako může být v HTML. Aby bylo možné reagovat na vstup uživatele, provádět složitější animace apod. JavaScript v HTML i v SVG měl původně možnost jenom manipulovat s daným dokumentem, takže v tom není žádné bezpečnostní riziko. Problém MS Office maker byl v tom, že měla přístup do systému – a pokud prohlížeč přes nějaká rozšíření umožní přístup do systému, je to problém těch rozšíření, ne JavaScriptu.
Ne, žádný JavaScript si nemůže s prohlížečem dělat, co chce (pokud není v tom prohlížeči vážná chyba). Otevření jiného dokumentu je standardní akce, kterou je možné z JavaScriptu vyvolat – není to nic specifického pro SVG, může to udělat jakýkoli jiný dokument s JavaScriptem, typicky HTML. A není k tomu potřeba ani žádný JavaScript, otevření jiného dokumentu je možné vyjádřit i deklarativně ve značkovacích jazycích, třeba odkaz v HTML nebo SVG, odkaz na rámce v HTML nebo meta refresh v HTML. Dokonce jsou odkazy základem celého HTML (to „H“ je „hypertext“ nebo-li právě ty odkazy) a webu.
(pokud není v tom prohlížeči vážná chyba)
Coz casto je.
Vážná chyba ovšem může být i ve zpracování HTML značek, CSS nebo obrázku. S JavaScriptem to nijak nesouvisí. Dokonce jestli se nepletu, nejzávažnější chyba (buffer overflow, která umožňovala skutečně v procesu prohlížeče spustit libovolný nativní kód) byla kdysi právě v knihovně pro zobrazování bitmapových obrázků.
A obrazek se po Fejsbuuku posila mnohem snaze, nez kus html.
Jenže tam jde o ten odkaz, a ten se zase po Facebooku posílá mnohem snáz, než obrázek. Jediný rozdíl je asi v tom, že samotné odkazy už dnes Facebook nejspíš před publikováním kontroluje, ale odkazy v obrázku asi zatím nekontroloval.
Asi ne, pokud neni SVG interaktivni, coz byt muze. Ale asi to nepodporuji vsechny browsery, priklad z Wikipedie mi nechodi. https://upload.wikimedia.org/wikipedia/commons/9/9b/SMIL_missile_demo.svg