Microsoft Edge sårbar over for cookie- og password-tyveri

How to effectively deal with bots on your site? The best protection against click fraud.

Det Microsoft Edge browser synes at have en alvorlig adgangskodesårbarhed. Nylige rapporter afslører, at angribere eller hackere let kunne få brugeradgangskode og cookiefiler til online-konti, en sårbarhed der blev opdaget af sikkerhedsekspert Manuel Caballero, en person med stor erfaring med at finde Edge og Internet Explorer bugs og mangler.

Angribere kan omgå Edge's SOP-beskyttelse

Sårbarheden lader en hacker indlæse og udføre ondsindet kode ved hjælp af data-URI'er, Meta-opdateringstag og domænesløse sider som f.eks. om: blank. Denne udnyttelsesteknik har mange variationer, og Caballero viste de måder, hvorpå en hacker kunne udføre kode på højt profilerede websteder bare ved at narre brugere til at få adgang til en ondsindet URL.

Caballero viste tre demoer, hvor han udførte kode på Bing hjemmeside, tweeted i navnet på en anden bruger og stjal adgangskoden og cookiefiler fra en Twitter-konto.

Det sidste angreb genudsatte en sikkerhedsfejl i designet af moderne browsere: hackers evne til at logge ud af en bruger, indlæse en login-side og stjæle brugerens legitimationsoplysninger, der automatisk udfyldes af browserens

instagram story viewer
adgangskode autofyld funktion.

Sårbarheden er stadig ikke opdateret. Af denne grund leverede Caballero demoer til download, så brugere kan inspicere kildekoden og sørge for, at deres adgangskoder og cookies ikke uploades nogen steder.

Angreb automatiseres ved malvertising

Det ser også ud til, at angreb kan tilpasses til at dumpe adgangskoder eller cookies til flere onlinetjenester som f.eks Amazon, Facebook og mere. Kun Edge påvirkes, fordi “UXSS / SOP-omgåelser har tendens til at være specifikke for hver browser.”

Moderne annoncer leveres JavaScript-kode til browsere, og det er grunden til, at angribere kan lette malvertiserende kampagner for at automatisere leveringen af ​​denne udnyttelse til et stort antal ofre.

For mere information kan du læs Caballeros tekniske beskrivelse af emnet.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES:

  • Dette er grunden til, at den nye version af Microsoft Edge ikke imponerer brugerne
  • Aktivér fuld skærm på Microsoft Edge med denne enkle kommando
  • Zoom ind Microsoft Edge med denne nye udvidelse
Teachs.ru
Windows Security er det nye antiviruscenter i Windows 10 Redstone 5

Windows Security er det nye antiviruscenter i Windows 10 Redstone 5Redstone 5AntivirusProblemer Med Windows ForsvarerCybersikkerhed

ESET Antivirus leveres med alle de sikkerhedsværktøjer, som du muligvis nogensinde har brug for for at beskytte dine data og privatliv, herunder:TyverisikringWebcam beskyttelseIntuitiv opsætning og...

Læs mere
Edge, Microsofts mest sikre browser, blev hacket på Pwn2Own

Edge, Microsofts mest sikre browser, blev hacket på Pwn2OwnMicrosoft Edge ProblemerCybersikkerhed

Microsoft har udtalt utallige gange det Edge er den mest sikre browser dets ingeniører har nogensinde skabt. Hvide hatthackere har imidlertid for nylig bevist noget andet.Pwn2Own er verdens mest ke...

Læs mere
Avira Privacy Pal forhindrer og løser privatlivsproblemer på Windows-pc'er

Avira Privacy Pal forhindrer og løser privatlivsproblemer på Windows-pc'erAvira UdstederCybersikkerhed

Avira er et sikkerhedsfirma, der er kendt for sine antivirusprodukter af høj kvalitet. De blev for nylig lanceret Avira Privacy Pal, en gratis software, som du kan download fra Aviras officielle hj...

Læs mere
ig stories viewer