ο Microsoft Edge το πρόγραμμα περιήγησης φαίνεται να έχει σοβαρή ευπάθεια κωδικού πρόσβασης. Πρόσφατες αναφορές αποκαλύπτουν ότι οι εισβολείς ή οι εισβολείς θα μπορούσαν εύκολα να αποκτήσουν κωδικό πρόσβασης χρήστη και αρχεία cookie για διαδικτυακούς λογαριασμούς, κάτι που είναι ευάλωτο που ανακαλύφθηκε από τον εμπειρογνώμονα ασφαλείας Manuel Caballero, κάποιον με τεράστια εμπειρία να ανακαλύψει σφάλματα Edge και Internet Explorer και ελαττώματα.
Οι επιτιθέμενοι μπορούν να παρακάμψουν την προστασία SOP του Edge
Η ευπάθεια επιτρέπει σε έναν εισβολέα να φορτώνει και να εκτελεί κακόβουλο κώδικα χρησιμοποιώντας URIs δεδομένων, Meta refresh tag και σελίδες χωρίς τομέα, όπως about: κενό. Αυτή η τεχνική εκμετάλλευσης έχει πολλές παραλλαγές και το Caballero έδειξε τους τρόπους με τους οποίους ένας εισβολέας θα μπορούσε να εκτελέσει κώδικα σε ιστότοπους υψηλού προφίλ απλώς εξαπατώντας τους χρήστες να έχουν πρόσβαση σε μια κακόβουλη διεύθυνση URL.
Ο Καμπαλέρο έδειξε τρία demos στα οποία εκτέλεσε κώδικα στο
Αρχική σελίδα Bing, έκανε tweet στο όνομα άλλου χρήστη και έκλεψε τον κωδικό πρόσβασης και τα αρχεία cookie από ένα Λογαριασμός Twitter.Η τελευταία επίθεση αποκάλυψε ξανά ένα σφάλμα ασφάλειας στο σχεδιασμό των σύγχρονων προγραμμάτων περιήγησης: την ικανότητα του χάκερ να το κάνει αποσυνδεθείτε από έναν χρήστη, φορτώστε μια σελίδα σύνδεσης και κλέψτε τα διαπιστευτήρια του χρήστη που συμπληρώνονται αυτόματα από το του προγράμματος περιήγησης αυτόματη συμπλήρωση κωδικού πρόσβασης χαρακτηριστικό.
Η ευπάθεια εξακολουθεί να είναι ανεπιτήδευτη. Για αυτόν τον λόγο, το Caballero παρείχε επιδείξεις για λήψη, έτσι ώστε οι χρήστες να μπορούν να ελέγξουν τον πηγαίο κώδικα και να βεβαιωθούν ότι οι κωδικοί πρόσβασης και τα cookie τους δεν μεταφορτώνονται πουθενά.
Οι επιθέσεις αυτοματοποιούνται από κακόβουλες διαφημίσεις
Φαίνεται επίσης ότι οι επιθέσεις μπορούν να προσαρμοστούν για να απορρίψουν τους κωδικούς πρόσβασης ή τα cookie περισσότερων διαδικτυακών υπηρεσιών όπως Αμαζόνα, Facebook και άλλα. Μόνο Ακρη επηρεάζεται επειδή "Τα bypass UXSS / SOP τείνουν να είναι ειδικά για κάθε πρόγραμμα περιήγησης.”
Οι σύγχρονες διαφημίσεις προβάλλονται Κωδικός JavaScript στα προγράμματα περιήγησης και αυτός είναι ο λόγος για τον οποίο οι εισβολείς μπορούν να διευκολύνουν τις καμπάνιες κακόβουλης διαφήμισης για να αυτοματοποιήσουν την παράδοση αυτής της εκμετάλλευσης σε τεράστιο αριθμό θυμάτων.
Για περισσότερες πληροφορίες, μπορείτε διαβάστε την τεχνική περιγραφή του Caballero του ζητήματος.
ΣΧΕΤΙΚΕΣ ΙΣΤΟΡΙΕΣ ΓΙΑ ΕΞΕΤΑΣΗ:
- Αυτός είναι ο λόγος για τον οποίο η νέα έκδοση του Microsoft Edge δεν εντυπωσιάζει τους χρήστες
- Ενεργοποιήστε την πλήρη οθόνη στο Microsoft Edge με αυτήν την απλή εντολή
- Κάντε ζουμ στο Microsoft Edge με αυτήν τη νέα επέκταση
