Microsoft Edge rentan terhadap pencurian cookie dan kata sandi

Itu Microsoft Edge browser tampaknya memiliki kerentanan kata sandi yang parah. Laporan terbaru mengungkapkan bahwa penyerang atau peretas dapat dengan mudah mendapatkan kata sandi pengguna dan file cookie untuk akun online, sebuah kerentanan yang ditemukan oleh pakar keamanan Manuel Caballero, seseorang dengan pengalaman luas dalam menggali bug Edge dan Internet Explorer dan kekurangan.

Penyerang dapat melewati perlindungan SOP Edge

Kerentanan memungkinkan penyerang memuat dan mengeksekusi kode berbahaya menggunakan URI data, tag penyegaran Meta, dan halaman tanpa domain seperti: About blank. Teknik eksploitasi ini memiliki banyak variasi dan Caballero menunjukkan cara peretas dapat mengeksekusi kode di situs profil tinggi hanya dengan menipu pengguna untuk mengakses URL berbahaya.

Caballero menunjukkan tiga demo di mana ia mengeksekusi kode pada Beranda Bing, menge-tweet atas nama pengguna lain, dan mencuri kata sandi dan file cookie dari a Akun Twitter.

Serangan terakhir memperlihatkan kembali kesalahan keamanan dalam desain peramban modern: kemampuan peretas untuk logout pengguna, muat halaman login, dan curi kredensial pengguna yang secara otomatis diisi oleh browser

isi otomatis kata sandi fitur.

Kerentanan masih belum ditambal. Untuk alasan ini, Caballero menyediakan demo untuk diunduh sehingga pengguna dapat memeriksa kode sumber dan memastikan kata sandi dan cookie mereka tidak diunggah di mana pun.

Serangan diotomatiskan oleh malvertising

Tampaknya juga serangan dapat disesuaikan untuk membuang kata sandi atau cookie dari lebih banyak layanan online seperti services Amazon, Facebook, dan lainnya. Hanya Tepi terpengaruh karena “Bypass UXSS/SOP cenderung khusus untuk setiap browser.”

Iklan modern ditayangkan kode JavaScript ke browser dan inilah mengapa penyerang dapat memfasilitasi kampanye malvertising untuk mengotomatiskan pengiriman eksploitasi ini ke sejumlah besar korban.

Untuk informasi lebih lanjut, Anda dapat baca deskripsi teknis Caballero dari masalah ini.

CERITA TERKAIT UNTUK DIPERHATIKAN:

  • Inilah sebabnya mengapa versi baru Microsoft Edge tidak mengesankan pengguna
  • Aktifkan layar penuh di Microsoft Edge dengan perintah sederhana ini
  • Perbesar Microsoft Edge dengan ekstensi baru ini
Kerentanan keamanan Lenovo mengekspos 36TB informasi sensitif

Kerentanan keamanan Lenovo mengekspos 36TB informasi sensitifLenovoKeamanan Cyber

Lenovo baru-baru ini mengakui kerentanan keamanan utama (CVE-2019-6160) dan mengkategorikannya sebagai eksploitasi dengan tingkat keparahan tinggi. Kerentanan ini ada di perangkat penyimpanan yang ...

Baca selengkapnya
Peretas mengirim email ke pengguna Windows yang berpura-pura dari Tim Dukungan Microsoft

Peretas mengirim email ke pengguna Windows yang berpura-pura dari Tim Dukungan MicrosoftMicrosoftKeamanan Cyber

Sepertinya peretas sangat menargetkan pengguna Windows karena laporan baru mengungkapkan gelombang email penipuan yang membanjiri kotak masuk banyak pengguna Outlook.Ini bukan tindakan pertama yang...

Baca selengkapnya
Pusat Keamanan Azure untuk IoT mencegah dan mendeteksi pelanggaran keamanan

Pusat Keamanan Azure untuk IoT mencegah dan mendeteksi pelanggaran keamananKeamanan InternetMicrosoft BiruKeamanan Cyber

Microsoft mengumumkan ketersediaan umum Pusat Keamanan Azure untuk IoT, terutama berfokus pada organisasi dan keamanan produk mereka.Pusat Keamanan Azure untuk IoT berfokus pada pencegahan pelangga...

Baca selengkapnya