„Microsoft Edge“ pažeidžiama dėl slapukų ir slaptažodžių vagystės

„Microsoft Edge“ atrodo, kad naršyklėje yra labai pažeidžiamas slaptažodis. Naujausios ataskaitos rodo, kad užpuolikai ar įsilaužėliai gali lengvai gauti vartotojo slaptažodžių ir slapukų failus internetinėms paskyroms - tai yra pažeidžiamumas kurį atrado saugumo ekspertas Manuelis Caballero, turintis didelę patirtį atkasant „Edge“ ir „Internet Explorer“ klaidas ir trūkumai.

Užpuolikai gali apeiti „Edge“ SOP apsaugą

Dėl pažeidžiamumo užpuolikas gali įkelti ir vykdyti kenkėjišką kodą naudodamas duomenų URI, „Meta“ atnaujinimo žymą ir be domenų puslapius, pvz., apie: tuščias. Ši išnaudojimo technika turi daugybę variantų, o „Caballero“ parodė būdus, kuriais įsilaužėlis galėjo vykdyti kodą aukšto lygio svetainėse, tiesiog apgausdamas vartotojus pasiekti kenkėjišką URL.

Caballero parodė tris demonstracines versijas, kuriose jis įvykdė kodą „Bing“ pagrindinis puslapis, tweeted kito vartotojo vardu ir pavogė slaptažodį ir slapukų failus iš „Twitter“ paskyra.

Paskutinė ataka vėl atskleidė saugumo klaidą kuriant šiuolaikines naršykles: įsilaužėlio galimybes atsijunkite nuo vartotojo, įkelkite prisijungimo puslapį ir pavogkite vartotojo kredencialus, kuriuos automatiškai užpildo naršyklės

slaptažodžio automatinis pildymas funkcija.

Pažeidžiamumas vis dar nepašalintas. Dėl šios priežasties „Caballero“ pateikė demonstracines versijas atsisiųsti, kad vartotojai galėtų patikrinti šaltinio kodą ir įsitikinti, kad jų slaptažodžiai ir slapukai niekur nėra įkelti.

Puolimai automatizuojami malvertizuojant

Taip pat atrodo, kad atakas galima pritaikyti, kad būtų išvesti daugiau internetinių paslaugų, tokių kaip., Slaptažodžiai ar slapukai „Amazon“, „Facebook“ ir dar daugiau. Tik Briauna yra paveikta, nesUXSS / SOP apėjimai paprastai būdingi kiekvienai naršyklei.”

Pateikti šiuolaikiniai skelbimai „JavaScript“ kodas naršyklėms, todėl užpuolikai gali palengvinti malvertising kampanijas, kad automatizuotų šio išnaudojimo perdavimą daugybei aukų.

Norėdami gauti daugiau informacijos, galite perskaitykite „Caballero“ techninį aprašymą numerio.

Susijusios istorijos, kurias reikia patikrinti:

  • Štai kodėl naujoji „Microsoft Edge“ versija nedaro įspūdžio vartotojams
  • Įgalinkite visą ekraną „Microsoft Edge“ naudodami šią paprastą komandą
  • Padidinkite „Microsoft Edge“ naudodami šį naują plėtinį
Kaip įjungti TPM 2.0 įvairiose BIOS versijose

Kaip įjungti TPM 2.0 įvairiose BIOS versijoseTpm„Windows 11“Kibernetinė Sauga

TPM yra „Windows 11“ reikalavimas, todėl svarbu žinoti, kaip įjungti TPM 2.0 iš BIOS.Procesas yra paprastas ir beveik vienodas tiek AMD, tiek „Intel“ įrenginiuose.Įjungę šią funkciją padidinsite sa...

Skaityti daugiau
Klaida 268d3: kas tai yra ir kaip ją pašalinti [Windows 10]

Klaida 268d3: kas tai yra ir kaip ją pašalinti [Windows 10]Kibernetinė Sauga„Windows 10“ Pataisymas

Jei matai klaida 268d3 rodomas kompiuterio ar nešiojamojo kompiuterio ekrane, turėtumėte žinoti, kad tai sukčiavimas.Jei telefono numeris rodomas ekrane, jo neskambinkite. Vietoj to vadovaukitės to...

Skaityti daugiau
5 geriausios antivirusinės programos, skirtos „Debian“, siekiant apsaugoti „Linux“ iki pagrindų

5 geriausios antivirusinės programos, skirtos „Debian“, siekiant apsaugoti „Linux“ iki pagrindų„Linux“Kibernetinė Sauga

ESET Antivirus yra su visais saugos įrankiais, kurių jums gali prireikti norint apsaugoti savo duomenis ir privatumą, įskaitant:Apsaugos nuo vagystės palaikymasInterneto kameros apsaugaIntuityvi są...

Skaityti daugiau