A Microsoft Edge kiszolgáltatott a cookie-k és a jelszavak ellopásának

A Microsoft Edge úgy tűnik, hogy a böngésző súlyos jelszóval kapcsolatos sebezhetőséggel rendelkezik. A legfrissebb jelentések azt mutatják, hogy a támadók vagy hackerek könnyen megszerezhetik a felhasználói jelszavakat és a cookie-fájlokat az online fiókokhoz, ami sebezhetőség amelyet Manuel Caballero biztonsági szakértő fedezett fel, aki nagy tapasztalattal rendelkezik az Edge és az Internet Explorer hibáinak feltárásában és hibák.

A támadók megkerülhetik az Edge SOP védelmét

A biztonsági rés lehetővé teszi a támadó számára, hogy rosszindulatú kódot töltsön be és hajtson végre adat URI-k, Meta frissítési címke és domain nélküli oldalak, például kb: üres. Ennek a kiaknázási technikának sok változata van, és a Caballero megmutatta, hogy egy hacker miként hajthatja végre a kódot a nagy horderejű webhelyeken, csupán arra késztetve a felhasználókat, hogy hozzáférjenek egy rosszindulatú URL-hez.

Caballero három demót mutatott be, amelyekben kódot hajtott végre a Bing honlap, egy másik felhasználó nevében tweetelt, és ellopta a jelszót és a cookie fájlokat a Twitter-fiók.

Az utolsó támadás egy biztonsági hibát tárt fel a modern böngészők tervezésében: a hacker képességét kijelentkeztet egy felhasználót, betölt egy bejelentkezési oldalt és ellopja a felhasználó által automatikusan kitöltött hitelesítő adatokat böngésző jelszó automatikus kitöltése funkció.

A biztonsági rés még mindig javítatlan. Emiatt a Caballero demókat biztosított letöltésre, hogy a felhasználók megvizsgálhassák a forráskódot, és megbizonyosodhassanak arról, hogy jelszavukat és sütiket sehova nem töltenek fel.

A támadásokat malvertisszel automatizálják

Úgy tűnik továbbá, hogy a támadások testreszabhatók több online szolgáltatás, például a amazon, Facebook és így tovább. Csak Él érinti, mertAz UXSS / SOP bypassok általában minden böngészőre jellemzőek.”

A modern hirdetések szállítanak JavaScript kód a böngészőkhöz, és ezért a támadók megkönnyíthetik a rosszindulatú kampányokat, hogy automatizálják a kizsákmányolást hatalmas mennyiségű áldozatnak.

További információkért olvassa el Caballero műszaki leírását kérdésének.

KAPCSOLÓDÓ Történetek az ellenőrzéshez:

  • Ezért a Microsoft Edge új verziója nem imponálja a felhasználókat
  • Engedélyezze a teljes képernyőt a Microsoft Edge-en ezzel az egyszerű paranccsal
  • Nagyítson rá a Microsoft Edge-re ezzel az új kiterjesztéssel
Az 5 legjobb nyílt forráskódú szoftver a vállalati hálózatbiztonsághoz

Az 5 legjobb nyílt forráskódú szoftver a vállalati hálózatbiztonsághozHálózatKiberbiztonságVállalkozás

Ha a legjobb nyílt forráskódú hálózati biztonsági eszközt keresi, a válasz a Wazuh.Természetesen ez egy nyílt forráskódú megoldás, amely biztosítja a helyszíni, virtualizált és felhő alapú környeze...

Olvass tovább
A „SLU_Updater.exe” felugró üzenet eltávolítása

A „SLU_Updater.exe” felugró üzenet eltávolításaKiberbiztonságWindows 10 Javítás

ESET Antivirus tartalmazza az összes biztonsági eszközt, amelyre valaha szüksége lehet adatai és magánéletének védelme érdekében, beleértve:Lopás elleni támogatásWebkamera védelemIntuitív beállítás...

Olvass tovább
5 legjobb szoftver a portok ellenőrzésére [Open Ports & Advanced Scanners]

5 legjobb szoftver a portok ellenőrzésére [Open Ports & Advanced Scanners]PortokKiberbiztonság

A ManageEngine OpUtils egy megbízható hálózatkezelő eszköz, amely Port Scanner funkcióval is rendelkezik. Ez a fejlett funkció megkönnyíti a hálózati kapcsolóportok, valamint a rendszer TCP- és UDP...

Olvass tovább