A Microsoft Edge kiszolgáltatott a cookie-k és a jelszavak ellopásának

A Microsoft Edge úgy tűnik, hogy a böngésző súlyos jelszóval kapcsolatos sebezhetőséggel rendelkezik. A legfrissebb jelentések azt mutatják, hogy a támadók vagy hackerek könnyen megszerezhetik a felhasználói jelszavakat és a cookie-fájlokat az online fiókokhoz, ami sebezhetőség amelyet Manuel Caballero biztonsági szakértő fedezett fel, aki nagy tapasztalattal rendelkezik az Edge és az Internet Explorer hibáinak feltárásában és hibák.

A támadók megkerülhetik az Edge SOP védelmét

A biztonsági rés lehetővé teszi a támadó számára, hogy rosszindulatú kódot töltsön be és hajtson végre adat URI-k, Meta frissítési címke és domain nélküli oldalak, például kb: üres. Ennek a kiaknázási technikának sok változata van, és a Caballero megmutatta, hogy egy hacker miként hajthatja végre a kódot a nagy horderejű webhelyeken, csupán arra késztetve a felhasználókat, hogy hozzáférjenek egy rosszindulatú URL-hez.

Caballero három demót mutatott be, amelyekben kódot hajtott végre a Bing honlap, egy másik felhasználó nevében tweetelt, és ellopta a jelszót és a cookie fájlokat a Twitter-fiók.

Az utolsó támadás egy biztonsági hibát tárt fel a modern böngészők tervezésében: a hacker képességét kijelentkeztet egy felhasználót, betölt egy bejelentkezési oldalt és ellopja a felhasználó által automatikusan kitöltött hitelesítő adatokat böngésző jelszó automatikus kitöltése funkció.

A biztonsági rés még mindig javítatlan. Emiatt a Caballero demókat biztosított letöltésre, hogy a felhasználók megvizsgálhassák a forráskódot, és megbizonyosodhassanak arról, hogy jelszavukat és sütiket sehova nem töltenek fel.

A támadásokat malvertisszel automatizálják

Úgy tűnik továbbá, hogy a támadások testreszabhatók több online szolgáltatás, például a amazon, Facebook és így tovább. Csak Él érinti, mertAz UXSS / SOP bypassok általában minden böngészőre jellemzőek.”

A modern hirdetések szállítanak JavaScript kód a böngészőkhöz, és ezért a támadók megkönnyíthetik a rosszindulatú kampányokat, hogy automatizálják a kizsákmányolást hatalmas mennyiségű áldozatnak.

További információkért olvassa el Caballero műszaki leírását kérdésének.

KAPCSOLÓDÓ Történetek az ellenőrzéshez:

  • Ezért a Microsoft Edge új verziója nem imponálja a felhasználókat
  • Engedélyezze a teljes képernyőt a Microsoft Edge-en ezzel az egyszerű paranccsal
  • Nagyítson rá a Microsoft Edge-re ezzel az új kiterjesztéssel

Azonosítsa az adatait titkosító ransomware-t ezzel az ingyenes eszközzelKiberbiztonság

A rosszindulatú programok megfertőzhetik a számítógépet anélkül, hogy tudatában lennének annak, némán működnek, miközben kinyerik azokat az információkat, amelyek utánuk tartanak. Másrészről az oly...

Olvass tovább
A Chrome új Adatvédelmi módja a DuckDuckGo-ra támaszkodik az adatok védelme érdekében

A Chrome új Adatvédelmi módja a DuckDuckGo-ra támaszkodik az adatok védelme érdekébenKiberbiztonságDuckduckgo

A Chrome problémáinak kijavítása helyett kipróbálhat egy jobb böngészőt: OperaMegérdemel egy jobb böngészőt! 350 millió ember használja naponta az Operát, egy teljes körű navigációs élményt, amely ...

Olvass tovább
A Windows 10 Password Manager hiba lehetővé teszi a hackerek számára a jelszavak ellopását

A Windows 10 Password Manager hiba lehetővé teszi a hackerek számára a jelszavak ellopásátWindows 10Kiberbiztonság

Tavis Ormandy, a Google biztonságkutatója nemrégiben felfedezett egy sebezhetőséget, amely a Windows 10 Password Manager-ben rejtőzött. Ez a hiba lehetővé teszi a számítógépes támadók számára lopjo...

Olvass tovább