Microsoft Edge sårbar for informasjonskapsel- og passordtyveri

De Microsoft Edge nettleseren ser ut til å ha et alvorlig passordssårbarhet. Nylige rapporter avslører at angripere eller hackere lett kan skaffe brukerpassord og informasjonskapselfiler for online-kontoer, et sårbarhet som ble oppdaget av sikkerhetsekspert Manuel Caballero, noen med lang erfaring med å avdekke Edge og Internet Explorer bugs og feil.

Angripere kan omgå Edge's SOP-beskyttelse

Sårbarheten lar en angriper laste og kjøre ondsinnet kode ved hjelp av data-URI, Meta-oppdateringsmerke og domeneløse sider som f.eks. om: blank. Denne utnyttelsesteknikken har mange variasjoner, og Caballero viste hvordan en hacker kunne utføre kode på høyprofilerte nettsteder bare ved å lure brukere til å få tilgang til en ondsinnet URL.

Caballero viste tre demoer der han utførte kode på Bing hjemmeside, twitret i navnet til en annen bruker, og stjal passordet og informasjonskapselfilene fra en Twitter-konto.

Det siste angrepet avslørte en sikkerhetsfeil i utformingen av moderne nettlesere: hackers evne til å logge ut en bruker, laste inn en påloggingsside og stjele brukerens legitimasjon automatisk fylt ut av nettleser

passord autofyll trekk.

Sårbarheten er fortsatt upatchet. Av denne grunn ga Caballero demoer for nedlasting, slik at brukerne kan inspisere kildekoden og sørge for at passord og informasjonskapsler ikke lastes opp hvor som helst.

Angrep blir automatisert ved feilsøking

Det ser også ut til at angrep kan tilpasses for å dumpe passordene eller informasjonskapslene til flere elektroniske tjenester som f.eks Amazon, Facebook og mer. Kun Kant er berørt fordi “UXSS / SOP-omgåelser har en tendens til å være spesielle for hver nettleser.”

Moderne annonser leveres JavaScript-kode til nettlesere, og dette er grunnen til at angripere kan legge til rette for malvertiserende kampanjer for å automatisere levering av denne utnyttelsen til et stort antall ofre.

For mer informasjon kan du les Caballeros tekniske beskrivelse av utgaven.

RELATERTE HISTORIER FOR Å KONTROLLERE:

  • Dette er grunnen til at den nye versjonen av Microsoft Edge ikke imponerer brukere
  • Aktiver fullskjerm på Microsoft Edge med denne enkle kommandoen
  • Zoom inn Microsoft Edge med denne nye utvidelsen
Kan VPN-apper hacke deg? Hvordan velge en trygg VPN-leverandør?

Kan VPN-apper hacke deg? Hvordan velge en trygg VPN-leverandør?VpnCybersikkerhet

En av de mest presserende sakene når du installerer en VPN-app, er at du stoler på leverandøren 100% med dine personlige opplysninger og privat internettrafikk.De fleste VPN-leverandører kan være i...

Les mer
Forbedret skysikkerhet, 5G og en smartere Cortana kommer til Windows 10

Forbedret skysikkerhet, 5G og en smartere Cortana kommer til Windows 10Microsoft 365Microsoft AzureCybersikkerhet

Microsoft har kunngjort et flerårig samarbeid med AT&T for å bedre forme den teknologiske fremtiden.Det enorme partnerskapet mellom disse to gigantene vil forhåpentligvis ha stor innvirkning på...

Les mer
Windows 10. juni sikkerhetsoppdatering inneholder enorme reparasjoner for IE, Edge, Flash Player og Windows OS

Windows 10. juni sikkerhetsoppdatering inneholder enorme reparasjoner for IE, Edge, Flash Player og Windows OSPatch TirsdagCybersikkerhet

Microsofts månedlige Patch Tuesday inneholdt fem kritiske sikkerhetsbulletiner av 16, med en en kjent utnyttelse. I tillegg ble den siste versjonen 1511 av Windows 10 utgitt for å bygge 10586.240 o...

Les mer