Microsoft Edge sårbar over for cookie- og password-tyveri

Det Microsoft Edge browser synes at have en alvorlig adgangskodesårbarhed. Nylige rapporter afslører, at angribere eller hackere let kunne få brugeradgangskode og cookiefiler til online-konti, en sårbarhed der blev opdaget af sikkerhedsekspert Manuel Caballero, en person med stor erfaring med at finde Edge og Internet Explorer bugs og mangler.

Angribere kan omgå Edge's SOP-beskyttelse

Sårbarheden lader en hacker indlæse og udføre ondsindet kode ved hjælp af data-URI'er, Meta-opdateringstag og domænesløse sider som f.eks. om: blank. Denne udnyttelsesteknik har mange variationer, og Caballero viste de måder, hvorpå en hacker kunne udføre kode på højt profilerede websteder bare ved at narre brugere til at få adgang til en ondsindet URL.

Caballero viste tre demoer, hvor han udførte kode på Bing hjemmeside, tweeted i navnet på en anden bruger og stjal adgangskoden og cookiefiler fra en Twitter-konto.

Det sidste angreb genudsatte en sikkerhedsfejl i designet af moderne browsere: hackers evne til at logge ud af en bruger, indlæse en login-side og stjæle brugerens legitimationsoplysninger, der automatisk udfyldes af browserens

adgangskode autofyld funktion.

Sårbarheden er stadig ikke opdateret. Af denne grund leverede Caballero demoer til download, så brugere kan inspicere kildekoden og sørge for, at deres adgangskoder og cookies ikke uploades nogen steder.

Angreb automatiseres ved malvertising

Det ser også ud til, at angreb kan tilpasses til at dumpe adgangskoder eller cookies til flere onlinetjenester som f.eks Amazon, Facebook og mere. Kun Edge påvirkes, fordi “UXSS / SOP-omgåelser har tendens til at være specifikke for hver browser.”

Moderne annoncer leveres JavaScript-kode til browsere, og det er grunden til, at angribere kan lette malvertiserende kampagner for at automatisere leveringen af ​​denne udnyttelse til et stort antal ofre.

For mere information kan du læs Caballeros tekniske beskrivelse af emnet.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES:

  • Dette er grunden til, at den nye version af Microsoft Edge ikke imponerer brugerne
  • Aktivér fuld skærm på Microsoft Edge med denne enkle kommando
  • Zoom ind Microsoft Edge med denne nye udvidelse
Microsoft skynder sig at patch en stor udnyttelse, der påvirker amerikanske militære pc'er

Microsoft skynder sig at patch en stor udnyttelse, der påvirker amerikanske militære pc'erPatch TirsdagCybersikkerhed

Den første patch tirsdag i 2020 er lige rundt om hjørnet, og det ser ud til, at Microsoft ikke starter året meget godt.Efter en meget stille December 2019 Patch tirsdag med lidt eller ingen ændring...

Læs mere
Opdater WinRAR for at løse en 19-årig sikkerhedssårbarhed

Opdater WinRAR for at løse en 19-årig sikkerhedssårbarhedWinrarCybersikkerhed

Vi har brugt filudvindingssoftware WinRAR i aldre. Tror du det WinRAR er en sikker mulighed? Svaret er NEJ!. Overraskende nok har softwaren netop patchet en 19-årig sikkerhedssårbarhed.Angriberne ...

Læs mere
Microsoft inviterer hackere med hvid hat til at angribe Azure cloud-platformen

Microsoft inviterer hackere med hvid hat til at angribe Azure cloud-platformenAzureCybersikkerhed

Microsoft opfordrede for nylig hackere til at hacke sine Azure cloud-platform. Det lyder lidt underligt, ikke?Dette skridt er en del af Microsofts Safe Harbor køre, da virksomheden ønsker, at hacke...

Læs mere