La Microsoft Edge El navegador parece tener una vulnerabilidad de contraseña grave. Informes recientes revelan que los atacantes o piratas informáticos podrían obtener fácilmente la contraseña de usuario y los archivos de cookies para cuentas en línea, una vulnerabilidad que fue descubierto por el experto en seguridad Manuel Caballero, alguien con vasta experiencia en desenterrar errores de Edge e Internet Explorer y defectos.
Los atacantes pueden eludir la protección SOP de Edge
La vulnerabilidad permite que un atacante cargue y ejecute código malicioso utilizando URI de datos, metaetiqueta de actualización y páginas sin dominio como acerca de: en blanco. Esta técnica de explotación tiene muchas variaciones y Caballero mostró las formas en que un pirata informático podría ejecutar código en sitios de alto perfil simplemente engañando a los usuarios para que accedan a una URL maliciosa.
Caballero mostró tres demos en las que ejecutaba código en el Página de inicio de Bing, tuiteó en nombre de otro usuario y robó la contraseña y los archivos de cookies de un Cuenta de Twitter.
El último ataque volvió a exponer un error de seguridad en el diseño de los navegadores modernos: la capacidad del hacker para cerrar la sesión de un usuario, cargar una página de inicio de sesión y robar las credenciales del usuario rellenadas automáticamente por el navegador autocompletar contraseña característica.
La vulnerabilidad aún no está parcheada. Por esta razón, Caballero proporcionó demostraciones para descargar para que los usuarios puedan inspeccionar el código fuente y asegurarse de que sus contraseñas y cookies no se carguen en ningún lugar.
Los ataques se automatizan mediante publicidad maliciosa
También parece que los ataques se pueden personalizar para volcar las contraseñas o cookies de más servicios en línea como Amazonas, Facebook y más. Solo Borde se ve afectado porque "Las omisiones de UXSS / SOP tienden a ser específicas de cada navegador.”
Entrega de anuncios modernos Código JavaScript a los navegadores y esta es la razón por la que los atacantes pueden facilitar campañas de publicidad maliciosa para automatizar la entrega de este exploit a una gran cantidad de víctimas.
Para obtener más información, puede leer la descripción técnica de Caballero del problema.
HISTORIAS RELACIONADAS PARA VER:
- Es por eso que la nueva versión de Microsoft Edge no impresiona a los usuarios
- Habilite la pantalla completa en Microsoft Edge con este simple comando
- Zoom en Microsoft Edge con esta nueva extensión
