Microsoft Edge vulnerabile al furto di cookie e password

Il Microsoft Edge browser sembra avere una grave vulnerabilità della password. Rapporti recenti rivelano che gli aggressori o gli hacker potrebbero facilmente ottenere password utente e file cookie per gli account online, una vulnerabilità che è stato scoperto dall'esperto di sicurezza Manuel Caballero, qualcuno con una vasta esperienza nello scoprire bug di Edge e Internet Explorer e Explorer difetti.

Gli aggressori possono aggirare la protezione SOP di Edge

La vulnerabilità consente a un utente malintenzionato di caricare ed eseguire codice dannoso utilizzando URI di dati, tag di aggiornamento Meta e pagine senza dominio come su bianco. Questa tecnica di sfruttamento ha molte varianti e Caballero ha mostrato i modi in cui un hacker può eseguire codice su siti di alto profilo semplicemente inducendo gli utenti ad accedere a un URL dannoso.

Caballero ha mostrato tre demo in cui ha eseguito il codice sul Home page di Bing, ha twittato a nome di un altro utente e ha rubato la password e i file cookie da a Account Twitter.

L'ultimo attacco ha riesposto un errore di sicurezza nella progettazione dei browser moderni: la capacità dell'hacker di disconnettere un utente, caricare una pagina di accesso e rubare le credenziali dell'utente compilate automaticamente dal browser browser riempimento automatico della password caratteristica.

La vulnerabilità è ancora priva di patch. Per questo motivo, Caballero ha fornito demo da scaricare in modo che gli utenti possano ispezionare il codice sorgente e assicurarsi che le loro password e i cookie non vengano caricati da nessuna parte.

Gli attacchi sono automatizzati dal malvertising

Sembra inoltre che gli attacchi possano essere personalizzati per scaricare le password o i cookie di più servizi online come Amazon, Facebook e altro. Solo Bordo è influenzato perché "I bypass UXSS/SOP tendono ad essere particolari per ogni browser.”

Gli annunci moderni vengono pubblicati Codice JavaScript ai browser ed è per questo che gli aggressori possono facilitare le campagne di malvertising per automatizzare la consegna di questo exploit a un'enorme quantità di vittime.

Per maggiori informazioni, puoi leggi la descrizione tecnica di Caballero della questione.

STORIE CORRELATE DA VERIFICARE:

  • Ecco perché la nuova versione di Microsoft Edge non impressiona gli utenti
  • Abilita lo schermo intero su Microsoft Edge con questo semplice comando
  • Ingrandisci Microsoft Edge con questa nuova estensione
I router domestici sono interessati dai principali problemi di sicurezza UPnProxy

I router domestici sono interessati dai principali problemi di sicurezza UPnProxyPrivacySicurezza Informatica

Secondo l'ultimo rapporto di Akamai, sembra che i malintenzionati stiano abusando di oltre 65.000 router per creare reti proxy per attività segrete o addirittura illegali. Akamai è una rete di dist...

Leggi di più
Secondo quanto riferito, il plug-in di riempimento automatico di LinkendIn ha fatto trapelare dati utente

Secondo quanto riferito, il plug-in di riempimento automatico di LinkendIn ha fatto trapelare dati utenteLinkedinSicurezza Informatica

Microsoft acquistato LinkedIn nel 2016 e fino ad ora non ci sono stati problemi con il servizio. Potresti aver trovato utile il plug-in di riempimento automatico di LinkedIn, ma sembra che ci sia d...

Leggi di più
Molti computer sono ancora infettati dal ransomware Wannacry

Molti computer sono ancora infettati dal ransomware WannacryRansomwareWannacry RansomwareSicurezza Informatica

Sapevi che ci sono ancora molti, molti computer che sono ancora infettati dal Wannacry ransomware? Devo ammettere che questa era una novità per me quando l'ho letto per la prima volta. "Ma come fun...

Leggi di più