le Microsoft Edge navigateur semble avoir une grave vulnérabilité de mot de passe. Des rapports récents révèlent que les attaquants ou les pirates pourraient facilement obtenir le mot de passe utilisateur et les fichiers de cookies pour les comptes en ligne, une vulnérabilité qui a été découvert par l'expert en sécurité Manuel Caballero, quelqu'un avec une vaste expérience de la découverte de bogues Edge et Internet Explorer et défauts.
Les attaquants peuvent contourner la protection SOP d'Edge
La vulnérabilité permet à un attaquant de charger et d'exécuter du code malveillant à l'aide d'URI de données, d'une balise d'actualisation Meta et de pages sans domaine telles que à propos de: vide. Cette technique d'exploitation présente de nombreuses variantes et Caballero a montré comment un pirate informatique pouvait exécuter du code sur des sites très médiatisés simplement en incitant les utilisateurs à accéder à une URL malveillante.
Caballero a montré trois démos dans lesquelles il a exécuté du code sur le
Page d'accueil de Bing, a tweeté au nom d'un autre utilisateur et a volé le mot de passe et les fichiers de cookies d'un Compte Twitter.La dernière attaque a réexposé une erreur de sécurité dans la conception des navigateurs modernes: la capacité du pirate à déconnecter un utilisateur, charger une page de connexion et voler les informations d'identification de l'utilisateur automatiquement renseignées par le navigateur saisie automatique du mot de passe fonctionnalité.
La vulnérabilité n'est toujours pas corrigée. Pour cette raison, Caballero a fourni des démos à télécharger afin que les utilisateurs puissent inspecter le code source et s'assurer que leurs mots de passe et cookies ne sont téléchargés nulle part.
Les attaques sont automatisées par la publicité malveillante
Il semble également que les attaques puissent être personnalisées pour supprimer les mots de passe ou les cookies de plus de services en ligne tels que Amazone, Facebook et plus encore. Seul Bord est affecté parce que «Les contournements UXSS/SOP ont tendance à être particuliers à chaque navigateur.”
Les publicités modernes sont diffusées Code JavaScript aux navigateurs et c'est pourquoi les attaquants peuvent faciliter les campagnes de publicité malveillante pour automatiser la livraison de cet exploit à un grand nombre de victimes.
Pour plus d'informations, vous pouvez lire la description technique de Caballero de la question.
HISTOIRES CONNEXES À VÉRIFIER :
- C'est pourquoi la nouvelle version de Microsoft Edge n'impressionne pas les utilisateurs
- Activez le plein écran sur Microsoft Edge avec cette simple commande
- Zoomez sur Microsoft Edge avec cette nouvelle extension
