Microsoft Edge vulnerabile al furto di cookie e password

Il Microsoft Edge browser sembra avere una grave vulnerabilità della password. Rapporti recenti rivelano che gli aggressori o gli hacker potrebbero facilmente ottenere password utente e file cookie per gli account online, una vulnerabilità che è stato scoperto dall'esperto di sicurezza Manuel Caballero, qualcuno con una vasta esperienza nello scoprire bug di Edge e Internet Explorer e Explorer difetti.

Gli aggressori possono aggirare la protezione SOP di Edge

La vulnerabilità consente a un utente malintenzionato di caricare ed eseguire codice dannoso utilizzando URI di dati, tag di aggiornamento Meta e pagine senza dominio come su bianco. Questa tecnica di sfruttamento ha molte varianti e Caballero ha mostrato i modi in cui un hacker può eseguire codice su siti di alto profilo semplicemente inducendo gli utenti ad accedere a un URL dannoso.

Caballero ha mostrato tre demo in cui ha eseguito il codice sul Home page di Bing, ha twittato a nome di un altro utente e ha rubato la password e i file cookie da a Account Twitter.

L'ultimo attacco ha riesposto un errore di sicurezza nella progettazione dei browser moderni: la capacità dell'hacker di disconnettere un utente, caricare una pagina di accesso e rubare le credenziali dell'utente compilate automaticamente dal browser browser riempimento automatico della password caratteristica.

La vulnerabilità è ancora priva di patch. Per questo motivo, Caballero ha fornito demo da scaricare in modo che gli utenti possano ispezionare il codice sorgente e assicurarsi che le loro password e i cookie non vengano caricati da nessuna parte.

Gli attacchi sono automatizzati dal malvertising

Sembra inoltre che gli attacchi possano essere personalizzati per scaricare le password o i cookie di più servizi online come Amazon, Facebook e altro. Solo Bordo è influenzato perché "I bypass UXSS/SOP tendono ad essere particolari per ogni browser.”

Gli annunci moderni vengono pubblicati Codice JavaScript ai browser ed è per questo che gli aggressori possono facilitare le campagne di malvertising per automatizzare la consegna di questo exploit a un'enorme quantità di vittime.

Per maggiori informazioni, puoi leggi la descrizione tecnica di Caballero della questione.

STORIE CORRELATE DA VERIFICARE:

  • Ecco perché la nuova versione di Microsoft Edge non impressiona gli utenti
  • Abilita lo schermo intero su Microsoft Edge con questo semplice comando
  • Ingrandisci Microsoft Edge con questa nuova estensione
Gli attacchi malware/adware di Facebook Messenger colpiscono migliaia di PC

Gli attacchi malware/adware di Facebook Messenger colpiscono migliaia di PCSicurezza InformaticaMessaggero Di Facebook

Attualmente si sta diffondendo un'ondata di attacchi di malware Facebook Messenger servire malware/adware multipiattaforma. Gli aggressori utilizzano molti domini per impedire il tracciamento. La r...

Leggi di più
BlueTalon è la nuova aggiunta al team di Azure Data Governance di Microsoft

BlueTalon è la nuova aggiunta al team di Azure Data Governance di MicrosoftMicrosoftMicrosoft AzzurroSicurezza Informatica

Microsoft ha annunciato che sta acquisendo BlueTalon per migliorare e semplificare la privacy dei dati nei moderni asset di dati.BlueTalon è un fornitore di sicurezza incentrata sui dati per le fut...

Leggi di più
Le aziende si affidano ancora a Windows Server 2003 con Windows Server 2016 che bussa alla porta

Le aziende si affidano ancora a Windows Server 2003 con Windows Server 2016 che bussa alla portaServer WindowsSicurezza Informatica

Microsoft sta per lanciare Windows Server 2016 a settembre con la promessa di migliori funzionalità di gestione dei data center e funzionalità di sicurezza avanzate. Per quanto interessante possa e...

Leggi di più