Microsoft Edge დაუცველია ქუქი-ფაილების და პაროლის მოპარვისგან

Microsoft Edge ბრაუზერს, როგორც ჩანს, აქვს პაროლის სერიოზული დაუცველობა. ბოლოდროინდელი ცნობების თანახმად, თავდამსხმელებს ან ჰაკერებს ადვილად შეუძლიათ მიიღონ მომხმარებლის პაროლი და ფუნთუშების ფაილები ონლაინ ანგარიშებისთვის, რაც მოწყვლადობაა ეს აღმოაჩინა უსაფრთხოების ექსპერტმა მანუელ კაბალიერომ, ვინმეს დიდი გამოცდილება აქვს Edge და Internet Explorer შეცდომების აღმოსაჩენად და ხარვეზები

თავდამსხმელებს შეუძლიათ გვერდის ავლით Edge- ის SOP დაცვას

დაუცველობა საშუალებას აძლევს თავდამსხმელს დატვირთოს და შეასრულოს მავნე კოდი მონაცემთა URI- ების, Meta განახლების თეგისა და დომენის გარეშე გვერდების გამოყენებით, როგორიცაა შესახებ: ცარიელი. ამ ექსპლუატაციის ტექნიკას მრავალი ვარიაცია აქვს და კაბალიერომ აჩვენა ის გზები, რომლითაც ჰაკერს შეეძლო კოდის შესრულება გახმაურებულ საიტებზე, მხოლოდ მომხმარებლების მოტყუებით, მავნე URL– ზე წვდომისთვის.

კაბალიერომ აჩვენა სამი დემო, რომელშიც მან კოდი დადო ბინგის საწყისი გვერდი, tweeted სხვა მომხმარებლის სახელით, და მოიპარა პაროლი და cookie ფაილები ა Twitter ანგარიში.

ბოლო შეტევამ გამოავლინა უსაფრთხოების შეცდომა თანამედროვე ბრაუზერების დიზაინში: ჰაკერის შესაძლებლობა გამოდით მომხმარებელიდან, ჩატვირთეთ შესვლის გვერდი და მოიპარეთ მომხმარებლის ავტორიზაციის მიერ ავტომატურად შევსებული სერთიფიკატები ბრაუზერის

პაროლის ავტომატური შევსება თვისება.

დაუცველობა კვლავ გაუპატიურებულია. ამ მიზეზით, კაბალიერომ ჩამოტვირთა ჩვენებები, რომ მომხმარებლებმა შეძლონ დაათვალიერონ საწყისი კოდი და დარწმუნდნენ, რომ მათი პაროლები და ქუქი – ფაილები არსად არის ატვირთული.

შეტევები ავტომატიზირებულია malvertising- ით

ასევე ჩანს, რომ შეტევები შეიძლება მორგებული იყოს მეტი ონლაინ სერვისის პაროლების ან ქუქი-ფაილების გადასაყრელად ამაზონი, ფეისბუქი და ა.შ. მხოლოდ პირას გავლენას ახდენს, რადგან ”UXSS / SOP შემოვლითი მხარეები თითოეული ბრაუზერისთვის განსაკუთრებით მნიშვნელოვანია.”

თანამედროვე რეკლამებს აწვდის JavaScript კოდი ბრაუზერებისთვის და ამიტომაა, რომ თავდამსხმელებს შეუძლიათ ხელი შეუწყონ არასათანადო კამპანიების განხორციელებას ავტომატიზირებით ამ ექსპლოიტის მიწოდებაზე უზარმაზარი მსხვერპლისთვის

დამატებითი ინფორმაციისთვის შეგიძლიათ წაიკითხეთ კაბალიეროს ტექნიკური აღწერა საკითხის.

დაკავშირებული ისტორიები, რომ შეამოწმოთ:

  • ამიტომ Microsoft Edge- ის ახალი ვერსია არ ახდენს მომხმარებლების შთაბეჭდილებას
  • ჩართეთ მთლიანი ეკრანი Microsoft Edge- ზე ამ მარტივი ბრძანებით
  • გაადიდეთ Microsoft Edge ამ ახალი გაფართოებით
Windows 10 June Security Patch შეიცავს უზარმაზარ შეკეთებებს IE, Edge, Flash Player და Windows OS– სთვის

Windows 10 June Security Patch შეიცავს უზარმაზარ შეკეთებებს IE, Edge, Flash Player და Windows OS– სთვისპატჩი სამშაბათსᲙიბერ დაცვა

Microsoft– ის ყოველთვიური პატჩი სამშაბათს შეიცავდა უსაფრთხოების კრიტიკულ ბიულეტენს 16 – დან ერთი ცნობილი ექსპლოიტი. გარდა ამისა, Windows 10 გამოშვების უახლესი ვერსია 1511 გამოვიდა 10586.240 და MS16...

Წაიკითხე მეტი
ტექნიკის მხარდაჭერით პერსონალური კომპიუტერის უსაფრთხოება Thunderspy– ის შეტევების ჩასაშლელად

ტექნიკის მხარდაჭერით პერსონალური კომპიუტერის უსაფრთხოება Thunderspy– ის შეტევების ჩასაშლელადმაიკროსოფტიᲙიბერ დაცვა

ტექნიკის მიერ მხარდაჭერილი კომპიუტერის უსაფრთხოების კონცეფცია დღითიდღე იძენს იმპულსს.Microsoft მხარს უჭერს დაცულ ბირთვულ კომპიუტერებს, როგორც საწინააღმდეგო ღონისძიება კიბერ საფრთხეების წინააღმდეგ, ...

Წაიკითხე მეტი
Windows Defender აფრთხილებს მომხმარებლებს მრავალი ტროას საფრთხის შესახებ, სხვა ანტივირუსული პროგრამები ვერაფერს პოულობენ

Windows Defender აფრთხილებს მომხმარებლებს მრავალი ტროას საფრთხის შესახებ, სხვა ანტივირუსული პროგრამები ვერაფერს პოულობენვინდოუსის დამცველის პრობლემებიᲙიბერ დაცვა

ამის შესახებ მრავალი მომხმარებელი აცხადებს ვინდოუსის დამცველი ამ ბოლო დროს უცნაურად იქცეოდა და განუწყვეტლივ აფრთხილებდა მათ მრავალი ტროას საფრთხის შესახებ. უფრო გასაკვირი ის არის, რომ სხვა ანტივირუ...

Წაიკითხე მეტი