The Microsoft Edge браузърът изглежда има сериозна уязвимост на паролата. Последните доклади разкриват, че нападателите или хакерите могат лесно да получат потребителска парола и файлове с бисквитки за онлайн акаунти, уязвимост който беше открит от експерта по сигурността Мануел Кабалеро, някой с богат опит в откриването на грешки в Edge и Internet Explorer и недостатъци.
Атакуващите могат да заобиколят SOP защитата на Edge
Уязвимостта позволява на атакуващия да зарежда и изпълнява злонамерен код, използвайки URI на данни, таг за опресняване на Meta и страници без домейн, като за: празно. Тази техника на експлоатация има много вариации и Caballero показа начините, по които хакер може да изпълнява код на високопрофилни сайтове, просто като подвежда потребителите до достъп до злонамерен URL адрес.
Кабалеро показа три демо версии, в които изпълни код на Начална страница на Bing, туитва в името на друг потребител и открадна файловете с пароли и бисквитки от Twitter акаунт.
Последната атака отново изложи грешка в сигурността в дизайна на съвременните браузъри: способността на хакера да излезте от потребител, заредете страница за вход и откраднете идентификационните данни на потребителя, автоматично попълнени от на браузъра
парола за автоматично попълване особеност.Уязвимостта все още не е закърпена. Поради тази причина Caballero предостави демонстрации за изтегляне, така че потребителите да могат да проверят изходния код и да се уверят, че техните пароли и бисквитки не са качени никъде.
Атаките се автоматизират чрез злоупотреба
Също така изглежда, че атаките могат да бъдат персонализирани, за да изхвърлят паролите или бисквитките на повече онлайн услуги като Amazon, Facebook и други. Само Ръб, край е засегната, защото „UXSS / SOP байпасите обикновено са специфични за всеки браузър.”
Съвременните реклами доставят JavaScript код за браузърите и затова нападателите могат да улеснят кампании за злоупотреба, за да автоматизират предоставянето на този експлойт на огромно количество жертви.
За повече информация можете прочетете техническото описание на Кабалеро на изданието.
СВЪРЗАНИ ИСТОРИИ ЗА ПРОВЕРКА:
- Ето защо новата версия на Microsoft Edge не впечатлява потребителите
- Активирайте цял екран на Microsoft Edge с тази проста команда
- Увеличете Microsoft Edge с това ново разширение
