Microsoft Edge sårbar over for cookie- og password-tyveri

Det Microsoft Edge browser synes at have en alvorlig adgangskodesårbarhed. Nylige rapporter afslører, at angribere eller hackere let kunne få brugeradgangskode og cookiefiler til online-konti, en sårbarhed der blev opdaget af sikkerhedsekspert Manuel Caballero, en person med stor erfaring med at finde Edge og Internet Explorer bugs og mangler.

Angribere kan omgå Edge's SOP-beskyttelse

Sårbarheden lader en hacker indlæse og udføre ondsindet kode ved hjælp af data-URI'er, Meta-opdateringstag og domænesløse sider som f.eks. om: blank. Denne udnyttelsesteknik har mange variationer, og Caballero viste de måder, hvorpå en hacker kunne udføre kode på højt profilerede websteder bare ved at narre brugere til at få adgang til en ondsindet URL.

Caballero viste tre demoer, hvor han udførte kode på Bing hjemmeside, tweeted i navnet på en anden bruger og stjal adgangskoden og cookiefiler fra en Twitter-konto.

Det sidste angreb genudsatte en sikkerhedsfejl i designet af moderne browsere: hackers evne til at logge ud af en bruger, indlæse en login-side og stjæle brugerens legitimationsoplysninger, der automatisk udfyldes af browserens

adgangskode autofyld funktion.

Sårbarheden er stadig ikke opdateret. Af denne grund leverede Caballero demoer til download, så brugere kan inspicere kildekoden og sørge for, at deres adgangskoder og cookies ikke uploades nogen steder.

Angreb automatiseres ved malvertising

Det ser også ud til, at angreb kan tilpasses til at dumpe adgangskoder eller cookies til flere onlinetjenester som f.eks Amazon, Facebook og mere. Kun Edge påvirkes, fordi “UXSS / SOP-omgåelser har tendens til at være specifikke for hver browser.”

Moderne annoncer leveres JavaScript-kode til browsere, og det er grunden til, at angribere kan lette malvertiserende kampagner for at automatisere leveringen af ​​denne udnyttelse til et stort antal ofre.

For mere information kan du læs Caballeros tekniske beskrivelse af emnet.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES:

  • Dette er grunden til, at den nye version af Microsoft Edge ikke imponerer brugerne
  • Aktivér fuld skærm på Microsoft Edge med denne enkle kommando
  • Zoom ind Microsoft Edge med denne nye udvidelse
Windows 10 får nye sikkerhedsopdateringer for at bekæmpe Spectre-angreb

Windows 10 får nye sikkerhedsopdateringer for at bekæmpe Spectre-angrebWindows 10 OpdateringerCybersikkerhed

Windows 10 modtog for nylig fire nye Intel-mikrokodeopdateringer med det formål at forbedre beskyttelsen mod Spectre Variant 2 angreb. Opdateringerne er tilgængelige for alle Windows 10-versioner s...

Læs mere
Google Chrome HTTPS Everywhere-udvidelse sikrer de websteder, du besøger

Google Chrome HTTPS Everywhere-udvidelse sikrer de websteder, du besøgerCybersikkerhedGoogle Chrome Udvidelse

I stedet for at løse problemer med Chrome kan du prøve en bedre browser: OperaDu fortjener en bedre browser! 350 millioner mennesker bruger Opera dagligt, en fuldt udviklet navigationsoplevelse, de...

Læs mere
Edge's SmartScreen sender dine personlige data til Microsoft

Edge's SmartScreen sender dine personlige data til MicrosoftMicrosoft Edge ProblemerPrivatlivCybersikkerhed

Sikkerhedsproblemer og delte data var altid problemer, der påvirkede Windows 10 og Microsoft Edge brugere. Mange af dem gav udtryk for deres bekymringer gennem årene og migrerede til andre browsere...

Læs mere