Американец Аарон Вивер придумал способ, с помощью которого можно получить удаленный доступ к принтеру пользователя через Firefox, Internet Explorer или практически любой другой веб-браузер.
Для совершения атаки жертва должна посетить либо сайт злоумышленника, либо страницу, которая подвержена уязвимости межсайтового скриптинга. К счастью, метод работает лишь с принтерами, подключенными к локальной сети.
Используя малоизвестную функцию многих браузеров, Вивер может заставить веб-страницу запустить печать на практически любом принтере в сети жертвы.
Веб-сайт способен посылать на печать рекламу, а теоретически — заставлять принтер выполнять более опасные операции, например, отправку факса, форматирование жесткого диска или загрузку вредоносного кода. Чтобы выполнить эту атаку, жертва должна посетить либо сайт злоумышленника, либо страницу, которая подвержена распространенной в сети уязвимости межсайтового скриптинга (XSS).
"У этой атаки нет прецедентов, — рассказывает Роберт Хансен (Robert Hansen), генеральный директор центра консультирования по сетевой безопасности SecTheory и владелец сайта Ha.ckers.org. — Вивер совместил две различные идеи, о которых мы знаем уже давно [межсайтовый скриптинг и уязвимость при использовании протоколов интернета]".
