The Microsoft Edge pārlūkprogrammā, šķiet, ir nopietna paroļu neaizsargātība. Jaunākie ziņojumi atklāj, ka uzbrucēji vai hakeri var viegli iegūt lietotāja paroles un sīkfailu failus tiešsaistes kontiem, kas ir ievainojamība to atklāja drošības eksperts Manuels Kaballero, kāds ar lielu pieredzi Edge un Internet Explorer kļūdu atrašanā un trūkumi.
Uzbrucēji var apiet Edge SOP aizsardzību
Ievainojamība ļauj uzbrucējam ielādēt un izpildīt ļaunprātīgu kodu, izmantojot datu URI, Meta atsvaidzināšanas tagu un bez domēna lapas, piemēram, par: tukšs. Šim izmantošanas paņēmienam ir daudz variāciju, un Caballero parādīja veidus, kā hakeris varēja izpildīt kodu augsta profila vietnēs, tikai pievilinot lietotājus piekļūt ļaunprātīgam URL.
Caballero parādīja trīs demonstrācijas, kurās viņš izpildīja kodu Bing mājas lapa, tweeted uz cita lietotāja vārda un nozaga paroli un sīkfailu failus no a Twitter konts.
Pēdējais uzbrukums atkārtoti atklāja drošības kļūdu mūsdienu pārlūkprogrammu dizainā: hakeru spēju atteikties no lietotāja, ielādēt pieteikšanās lapu un nozagt lietotāja akreditācijas datus, kurus automātiski aizpilda pārlūkprogrammas
paroles automātiskā aizpildīšana iezīme.Ievainojamība joprojām nav novērsta. Šī iemesla dēļ Caballero nodrošināja demonstrācijas lejupielādei, lai lietotāji varētu pārbaudīt pirmkodu un pārliecināties, vai viņu paroles un sīkfaili nav augšupielādēti nekur.
Uzbrukumi tiek automatizēti, malvertizējot
Šķiet arī, ka uzbrukumus var pielāgot, lai izmestu paroles vai sīkdatnes vairākiem tiešsaistes pakalpojumiem, piemēram, Amazon, Facebook un daudz ko citu. Tikai Mala tiek ietekmēts, joUXSS / SOP apvedceļš parasti ir raksturīgs katram pārlūkam.”
Mūsdienu reklāmas nodrošina JavaScript kods pārlūkprogrammām, un tieši tāpēc uzbrucēji var veicināt malvertising kampaņas, lai automatizētu šīs izmantošanas piegādi milzīgam upuru skaitam.
Lai iegūtu vairāk informācijas, varat izlasiet Caballero tehnisko aprakstu emisijas.
SAISTĪTIE STĀSTI, KO PĀRBAUDĪT:
- Tāpēc jaunā Microsoft Edge versija neuztrauc lietotājus
- Ar šo vienkāršo komandu iespējojiet pilnekrāna režīmu Microsoft Edge
- Tuviniet Microsoft Edge ar šo jauno paplašinājumu
