쿠키 및 암호 도용에 취약한 Microsoft Edge

그만큼 Microsoft Edge 브라우저에 심각한 암호 취약성이있는 것 같습니다. 최근 보고서에 따르면 공격자 또는 해커가 취약성 인 온라인 계정의 사용자 암호 및 쿠키 파일을 쉽게 얻을 수 있음 보안 전문가 Manuel Caballero, Edge 및 Internet Explorer 버그 발견에 대한 방대한 경험이있는 사람이 발견했습니다. 결점.

공격자는 Edge의 SOP 보호를 우회 할 수 있습니다.

이 취약점을 통해 공격자는 데이터 URI, 메타 새로 고침 태그 및 다음과 같은 도메인없는 페이지를 사용하여 악성 코드를로드하고 실행할 수 있습니다. about: 공백. 이 악용 기술에는 다양한 변형이 있으며 Caballero는 사용자를 속여 악성 URL에 액세스하도록 해커가 유명 사이트에서 코드를 실행할 수있는 방법을 보여주었습니다.

Caballero는 3 개의 데모를 보여주었습니다. Bing 홈페이지, 다른 사용자의 이름으로 트윗하고 암호 및 쿠키 파일을 훔쳤습니다. 트위터 계정.

마지막 공격은 최신 브라우저 설계에서 보안 오류를 다시 노출 시켰습니다. 해커의 사용자를 로그 아웃하고, 로그인 페이지를로드하고, 자동으로 입력 된 사용자의 자격 증명을 훔칩니다. 브라우저 비밀번호 자동 완성 특색.

취약점은 아직 패치되지 않았습니다. 이러한 이유로 Caballero는 사용자가 소스 코드를 검사하고 비밀번호와 쿠키가 어디에도 업로드되지 않도록 할 수 있도록 다운로드 데모를 제공했습니다.

악성 광고로 공격이 자동화됩니다.

또한 다음과 같은 더 많은 온라인 서비스의 암호 또는 쿠키를 덤프하도록 공격을 사용자 지정할 수있는 것으로 보입니다. 아마존, Facebook 등. 뿐 가장자리 "UXSS / SOP 우회는 각 브라우저에 특정한 경향이 있습니다..”

현대 광고는 자바 스크립트 코드 이것이 바로 공격자가 악성 광고 캠페인을 촉진하여 엄청난 수의 피해자에게이 익스플로잇을 자동으로 전달할 수있는 이유입니다.

자세한 내용은 Caballero의 기술 설명 읽기 문제의.

확인해야 할 관련 이야기 :

• 이것이 새로운 버전의 Microsoft Edge가 사용자에게 깊은 인상을주지 않는 이유입니다.
• 이 간단한 명령으로 Microsoft Edge에서 전체 화면 활성화
• 이 새로운 확장으로 Microsoft Edge 확대