Microsoft Edge vulnerabile al furto di cookie e password

How to effectively deal with bots on your site? The best protection against click fraud.

Il Microsoft Edge browser sembra avere una grave vulnerabilità della password. Rapporti recenti rivelano che gli aggressori o gli hacker potrebbero facilmente ottenere password utente e file cookie per gli account online, una vulnerabilità che è stato scoperto dall'esperto di sicurezza Manuel Caballero, qualcuno con una vasta esperienza nello scoprire bug di Edge e Internet Explorer e Explorer difetti.

Gli aggressori possono aggirare la protezione SOP di Edge

La vulnerabilità consente a un utente malintenzionato di caricare ed eseguire codice dannoso utilizzando URI di dati, tag di aggiornamento Meta e pagine senza dominio come su bianco. Questa tecnica di sfruttamento ha molte varianti e Caballero ha mostrato i modi in cui un hacker può eseguire codice su siti di alto profilo semplicemente inducendo gli utenti ad accedere a un URL dannoso.

Caballero ha mostrato tre demo in cui ha eseguito il codice sul Home page di Bing, ha twittato a nome di un altro utente e ha rubato la password e i file cookie da a Account Twitter.

instagram story viewer

L'ultimo attacco ha riesposto un errore di sicurezza nella progettazione dei browser moderni: la capacità dell'hacker di disconnettere un utente, caricare una pagina di accesso e rubare le credenziali dell'utente compilate automaticamente dal browser browser riempimento automatico della password caratteristica.

La vulnerabilità è ancora priva di patch. Per questo motivo, Caballero ha fornito demo da scaricare in modo che gli utenti possano ispezionare il codice sorgente e assicurarsi che le loro password e i cookie non vengano caricati da nessuna parte.

Gli attacchi sono automatizzati dal malvertising

Sembra inoltre che gli attacchi possano essere personalizzati per scaricare le password o i cookie di più servizi online come Amazon, Facebook e altro. Solo Bordo è influenzato perché "I bypass UXSS/SOP tendono ad essere particolari per ogni browser.”

Gli annunci moderni vengono pubblicati Codice JavaScript ai browser ed è per questo che gli aggressori possono facilitare le campagne di malvertising per automatizzare la consegna di questo exploit a un'enorme quantità di vittime.

Per maggiori informazioni, puoi leggi la descrizione tecnica di Caballero della questione.

STORIE CORRELATE DA VERIFICARE:

  • Ecco perché la nuova versione di Microsoft Edge non impressiona gli utenti
  • Abilita lo schermo intero su Microsoft Edge con questo semplice comando
  • Ingrandisci Microsoft Edge con questa nuova estensione
Teachs.ru
SmartScreen di Edge sta inviando i tuoi dati personali a Microsoft

SmartScreen di Edge sta inviando i tuoi dati personali a MicrosoftProblemi Di Microsoft EdgePrivacySicurezza Informatica

I problemi di sicurezza e i dati condivisi sono sempre stati problemi che hanno interessato Windows 10 e Microsoft Edge utenti. Molti di loro hanno espresso le loro preoccupazioni nel corso degli a...

Leggi di più
Nessuna patch per il bug del kernel di Windows che consente al malware di evitare il rilevamento dell'antivirus

Nessuna patch per il bug del kernel di Windows che consente al malware di evitare il rilevamento dell'antivirusBugSicurezza Informatica

Microsoft non rilascerà un aggiornamento di sicurezza nonostante una società di ricerca sulla sicurezza informatica affermi di aver scoperto un bug nel API PsSetLoadImageNotifyRoutine quella svilup...

Leggi di più
L'aggressore utilizza un sito di Office 365 per rubare le credenziali dell'utente

L'aggressore utilizza un sito di Office 365 per rubare le credenziali dell'utenteSicurezza Informatica

Gli hacker creano una pagina di accesso a Office 365 per rubare le credenziali Microsoft degli utenti. I lavoratori remoti che utilizzavano VPN per connettersi in modo sicuro alle reti aziendali er...

Leggi di più
ig stories viewer