„Microsoft Edge“ atrodo, kad naršyklėje yra labai pažeidžiamas slaptažodis. Naujausios ataskaitos rodo, kad užpuolikai ar įsilaužėliai gali lengvai gauti vartotojo slaptažodžių ir slapukų failus internetinėms paskyroms - tai yra pažeidžiamumas kurį atrado saugumo ekspertas Manuelis Caballero, turintis didelę patirtį atkasant „Edge“ ir „Internet Explorer“ klaidas ir trūkumai.
Užpuolikai gali apeiti „Edge“ SOP apsaugą
Dėl pažeidžiamumo užpuolikas gali įkelti ir vykdyti kenkėjišką kodą naudodamas duomenų URI, „Meta“ atnaujinimo žymą ir be domenų puslapius, pvz., apie: tuščias. Ši išnaudojimo technika turi daugybę variantų, o „Caballero“ parodė būdus, kuriais įsilaužėlis galėjo vykdyti kodą aukšto lygio svetainėse, tiesiog apgausdamas vartotojus pasiekti kenkėjišką URL.
Caballero parodė tris demonstracines versijas, kuriose jis įvykdė kodą „Bing“ pagrindinis puslapis, tweeted kito vartotojo vardu ir pavogė slaptažodį ir slapukų failus iš „Twitter“ paskyra.
Paskutinė ataka vėl atskleidė saugumo klaidą kuriant šiuolaikines naršykles: įsilaužėlio galimybes atsijunkite nuo vartotojo, įkelkite prisijungimo puslapį ir pavogkite vartotojo kredencialus, kuriuos automatiškai užpildo naršyklės
slaptažodžio automatinis pildymas funkcija.Pažeidžiamumas vis dar nepašalintas. Dėl šios priežasties „Caballero“ pateikė demonstracines versijas atsisiųsti, kad vartotojai galėtų patikrinti šaltinio kodą ir įsitikinti, kad jų slaptažodžiai ir slapukai niekur nėra įkelti.
Puolimai automatizuojami malvertizuojant
Taip pat atrodo, kad atakas galima pritaikyti, kad būtų išvesti daugiau internetinių paslaugų, tokių kaip., Slaptažodžiai ar slapukai „Amazon“, „Facebook“ ir dar daugiau. Tik Briauna yra paveikta, nesUXSS / SOP apėjimai paprastai būdingi kiekvienai naršyklei.”
Pateikti šiuolaikiniai skelbimai „JavaScript“ kodas naršyklėms, todėl užpuolikai gali palengvinti malvertising kampanijas, kad automatizuotų šio išnaudojimo perdavimą daugybei aukų.
Norėdami gauti daugiau informacijos, galite perskaitykite „Caballero“ techninį aprašymą numerio.
Susijusios istorijos, kurias reikia patikrinti:
- Štai kodėl naujoji „Microsoft Edge“ versija nedaro įspūdžio vartotojams
- Įgalinkite visą ekraną „Microsoft Edge“ naudodami šią paprastą komandą
- Padidinkite „Microsoft Edge“ naudodami šį naują plėtinį
