ザ・ マイクロソフトエッジ ブラウザには深刻なパスワードの脆弱性があるようです。 最近の報告によると、攻撃者やハッカーはオンラインアカウントのユーザーパスワードとCookieファイルを簡単に入手できる可能性があります。これは脆弱性です。 これは、セキュリティの専門家であるManuel Caballeroによって発見されました。これは、EdgeとInternetExplorerのバグを発掘した豊富な経験を持つ人物です。 欠陥。
攻撃者はEdgeのSOP保護をバイパスできます
この脆弱性により、攻撃者はデータURI、メタリフレッシュタグ、および次のようなドメインレスページを使用して悪意のあるコードをロードして実行できます。 約:空白. この悪用手法には多くのバリエーションがあり、Caballeroは、ハッカーがユーザーをだまして悪意のあるURLにアクセスさせるだけで、注目度の高いサイトでコードを実行する方法を示しました。
Caballeroは、3つのデモを示しました。 Bingのホームページ、別のユーザーの名前でツイートし、パスワードとCookieファイルを盗んだ Twitterアカウント.
最後の攻撃は、最新のブラウザの設計におけるセキュリティエラーを再暴露しました。ハッカーの能力 ユーザーをログアウトし、ログインページを読み込み、によって自動的に入力されたユーザーの資格情報を盗みます ブラウザの パスワードの自動入力 特徴。
脆弱性はまだパッチされていません。 このため、Caballeroはダウンロード用のデモを提供し、ユーザーがソースコードを調べて、パスワードとCookieがどこにもアップロードされていないことを確認できるようにしました。
攻撃はマルバタイジングによって自動化されます
また、攻撃をカスタマイズして、次のようなより多くのオンラインサービスのパスワードまたはCookieをダンプできるようです。 アマゾン、Facebookなど。 のみ 縁 影響を受けるのは「UXSS / SOPバイパスは、各ブラウザに固有である傾向があります.”
最新の広告は配信します JavaScriptコード これが、攻撃者がマルバタイジングキャンペーンを促進して、大量の被害者へのこのエクスプロイトの配信を自動化できる理由です。
詳細については、次のことができます。 Caballeroの技術的な説明を読む 問題の。
チェックアウトする関連記事:
- これが、新しいバージョンのMicrosoftEdgeがユーザーを感動させない理由です。
- この簡単なコマンドでMicrosoftEdgeの全画面表示を有効にする
- この新しい拡張機能でMicrosoftEdgeを拡大する
