A Microsoft Edge kiszolgáltatott a cookie-k és a jelszavak ellopásának

A Microsoft Edge úgy tűnik, hogy a böngésző súlyos jelszóval kapcsolatos sebezhetőséggel rendelkezik. A legfrissebb jelentések azt mutatják, hogy a támadók vagy hackerek könnyen megszerezhetik a felhasználói jelszavakat és a cookie-fájlokat az online fiókokhoz, ami sebezhetőség amelyet Manuel Caballero biztonsági szakértő fedezett fel, aki nagy tapasztalattal rendelkezik az Edge és az Internet Explorer hibáinak feltárásában és hibák.

A támadók megkerülhetik az Edge SOP védelmét

A biztonsági rés lehetővé teszi a támadó számára, hogy rosszindulatú kódot töltsön be és hajtson végre adat URI-k, Meta frissítési címke és domain nélküli oldalak, például kb: üres. Ennek a kiaknázási technikának sok változata van, és a Caballero megmutatta, hogy egy hacker miként hajthatja végre a kódot a nagy horderejű webhelyeken, csupán arra késztetve a felhasználókat, hogy hozzáférjenek egy rosszindulatú URL-hez.

Caballero három demót mutatott be, amelyekben kódot hajtott végre a Bing honlap, egy másik felhasználó nevében tweetelt, és ellopta a jelszót és a cookie fájlokat a Twitter-fiók.

Az utolsó támadás egy biztonsági hibát tárt fel a modern böngészők tervezésében: a hacker képességét kijelentkeztet egy felhasználót, betölt egy bejelentkezési oldalt és ellopja a felhasználó által automatikusan kitöltött hitelesítő adatokat böngésző jelszó automatikus kitöltése funkció.

A biztonsági rés még mindig javítatlan. Emiatt a Caballero demókat biztosított letöltésre, hogy a felhasználók megvizsgálhassák a forráskódot, és megbizonyosodhassanak arról, hogy jelszavukat és sütiket sehova nem töltenek fel.

A támadásokat malvertisszel automatizálják

Úgy tűnik továbbá, hogy a támadások testreszabhatók több online szolgáltatás, például a amazon, Facebook és így tovább. Csak Él érinti, mertAz UXSS / SOP bypassok általában minden böngészőre jellemzőek.”

A modern hirdetések szállítanak JavaScript kód a böngészőkhöz, és ezért a támadók megkönnyíthetik a rosszindulatú kampányokat, hogy automatizálják a kizsákmányolást hatalmas mennyiségű áldozatnak.

További információkért olvassa el Caballero műszaki leírását kérdésének.

KAPCSOLÓDÓ Történetek az ellenőrzéshez:

  • Ezért a Microsoft Edge új verziója nem imponálja a felhasználókat
  • Engedélyezze a teljes képernyőt a Microsoft Edge-en ezzel az egyszerű paranccsal
  • Nagyítson rá a Microsoft Edge-re ezzel az új kiterjesztéssel
A trójai programot részben eltávolították a Windows 10 rendszerből: Így távolíthatja el véglegesen

A trójai programot részben eltávolították a Windows 10 rendszerből: Így távolíthatja el véglegesenKiberbiztonság

A különféle számítógépes problémák kijavításához javasoljuk a DriverFix alkalmazást:Ez a szoftver folyamatosan futtatja az illesztőprogramokat, és így megóvja az általános számítógépes hibáktól és ...

Olvass tovább
A Microsoft Edge-t feltörték a Pwn2Own 2019-en, a javítás beérkezésekor

A Microsoft Edge-t feltörték a Pwn2Own 2019-en, a javítás beérkezésekorKiberbiztonságFirefox útmutatók

A biztonsági kutatók a Microsoft Edge-t és a Mozilla Firefoxot hackelték, és 270 ezer dolláros pénzjutalmat kerestek itt Pwn2Own hackelés. A A Firefox 66 böngészőt március 19-én jelentették be, így...

Olvass tovább
A Microsoft közelgő digitális azonosító platformja a blokkláncot használja a magánélet fokozása érdekében

A Microsoft közelgő digitális azonosító platformja a blokkláncot használja a magánélet fokozása érdekébenMicrosoftKiberbiztonság

Az elmúlt évben a Microsoft elkezdte feltárni a blockchain technológia használatát új típusú digitális azonosítók létrehozására a magánélet fokozása, ellenőrzés és biztonság.A Microsoft tervei közé...

Olvass tovább