Microsoft Edge kwetsbaar voor diefstal van cookies en wachtwoorden

De Microsoft Edge browser lijkt een ernstige kwetsbaarheid voor wachtwoorden te hebben. Uit recente rapporten blijkt dat aanvallers of hackers gemakkelijk gebruikerswachtwoorden en cookiebestanden voor online accounts kunnen verkrijgen, een kwetsbaarheid dat werd ontdekt door beveiligingsexpert Manuel Caballero, iemand met uitgebreide ervaring met het opsporen van Edge- en Internet Explorer-bugs en gebreken.

Aanvallers kunnen de SOP-beveiliging van Edge omzeilen

Door het beveiligingslek kan een aanvaller schadelijke code laden en uitvoeren met behulp van gegevens-URI's, meta-verversingstags en domeinloze pagina's zoals over: blanco. Deze exploitatietechniek kent vele variaties en Caballero toonde de manieren waarop een hacker code kan uitvoeren op spraakmakende sites door gebruikers te misleiden om toegang te krijgen tot een kwaadaardige URL.

Caballero toonde drie demo's waarin hij code uitvoerde op de Bing-startpagina, twitterde in naam van een andere gebruiker, en stal het wachtwoord en de cookiebestanden van a Twitter account.

De laatste aanval bracht opnieuw een beveiligingsfout aan het licht in het ontwerp van moderne browsers: het vermogen van de hacker om log een gebruiker uit, laad een inlogpagina en steel de inloggegevens van de gebruiker die automatisch worden ingevuld door de browser's wachtwoord automatisch invullen voorzien zijn van.

De kwetsbaarheid is nog niet gepatcht. Om deze reden heeft Caballero demo's geleverd om te downloaden, zodat gebruikers de broncode kunnen inspecteren en ervoor kunnen zorgen dat hun wachtwoorden en cookies nergens worden geüpload.

Aanvallen worden geautomatiseerd door malvertising

Het lijkt er ook op dat aanvallen kunnen worden aangepast om de wachtwoorden of cookies van meer online services te dumpen, zoals: Amazone, Facebook en meer. Enkel en alleen Rand wordt aangetast omdat “UXSS/SOP-bypasses zijn meestal specifiek voor elke browser.”

Moderne advertenties leveren JavaScript-code aan browsers en daarom kunnen aanvallers malvertisingcampagnes faciliteren om de levering van deze exploit aan een groot aantal slachtoffers te automatiseren.

Voor meer informatie kunt u lees de technische beschrijving van Caballero van de kwestie.

VERWANTE VERHALEN OM TE BEKIJKEN:

  • Dit is de reden waarom de nieuwe versie van Microsoft Edge geen indruk maakt op gebruikers
  • Schakel volledig scherm in op Microsoft Edge met deze eenvoudige opdracht
  • Zoom in op Microsoft Edge met deze nieuwe extensie
MS Exchange Server-kwetsbaarheid geeft hackers beheerdersrechten

MS Exchange Server-kwetsbaarheid geeft hackers beheerdersrechtenMicrosoft ExchangeCyberbeveiliging

Er is een nieuwe kwetsbaarheid gevonden in Microsoft Exchange Server 2013, 2016 en 2019. Deze nieuwe kwetsbaarheid heet PrivExchange en is eigenlijk een zero-day kwetsbaarheid.Door gebruik te maken...

Lees verder
Als je Sennheiser HeadSetup gebruikt, moet je dit lezen

Als je Sennheiser HeadSetup gebruikt, moet je dit lezenCyberbeveiliging

Als u gebruik maakt van Sennheiser HeadSetup- en HeadSetup Pro-software, dan loopt uw ​​computer mogelijk een ernstig risico op een aanval. Microsoft heeft een advies gepubliceerd onder de pittige ...

Lees verder
Windows 10 krijgt nieuwe beveiligingsupdates om Spectre-aanvallen af ​​te weren

Windows 10 krijgt nieuwe beveiligingsupdates om Spectre-aanvallen af ​​te werenWindows 10 UpdatesCyberbeveiliging

Windows 10 heeft onlangs vier nieuwe Intel-microcode-updates ontvangen om de bescherming tegen: Spectre variant 2 aanvallen. De updates zijn als volgt beschikbaar voor alle Windows 10-versies:KB409...

Lees verder