Microsoft Edge sårbar for informasjonskapsel- og passordtyveri

De Microsoft Edge nettleseren ser ut til å ha et alvorlig passordssårbarhet. Nylige rapporter avslører at angripere eller hackere lett kan skaffe brukerpassord og informasjonskapselfiler for online-kontoer, et sårbarhet som ble oppdaget av sikkerhetsekspert Manuel Caballero, noen med lang erfaring med å avdekke Edge og Internet Explorer bugs og feil.

Angripere kan omgå Edge's SOP-beskyttelse

Sårbarheten lar en angriper laste og kjøre ondsinnet kode ved hjelp av data-URI, Meta-oppdateringsmerke og domeneløse sider som f.eks. om: blank. Denne utnyttelsesteknikken har mange variasjoner, og Caballero viste hvordan en hacker kunne utføre kode på høyprofilerte nettsteder bare ved å lure brukere til å få tilgang til en ondsinnet URL.

Caballero viste tre demoer der han utførte kode på Bing hjemmeside, twitret i navnet til en annen bruker, og stjal passordet og informasjonskapselfilene fra en Twitter-konto.

Det siste angrepet avslørte en sikkerhetsfeil i utformingen av moderne nettlesere: hackers evne til å logge ut en bruker, laste inn en påloggingsside og stjele brukerens legitimasjon automatisk fylt ut av nettleser

passord autofyll trekk.

Sårbarheten er fortsatt upatchet. Av denne grunn ga Caballero demoer for nedlasting, slik at brukerne kan inspisere kildekoden og sørge for at passord og informasjonskapsler ikke lastes opp hvor som helst.

Angrep blir automatisert ved feilsøking

Det ser også ut til at angrep kan tilpasses for å dumpe passordene eller informasjonskapslene til flere elektroniske tjenester som f.eks Amazon, Facebook og mer. Kun Kant er berørt fordi “UXSS / SOP-omgåelser har en tendens til å være spesielle for hver nettleser.”

Moderne annonser leveres JavaScript-kode til nettlesere, og dette er grunnen til at angripere kan legge til rette for malvertiserende kampanjer for å automatisere levering av denne utnyttelsen til et stort antall ofre.

For mer informasjon kan du les Caballeros tekniske beskrivelse av utgaven.

RELATERTE HISTORIER FOR Å KONTROLLERE:

  • Dette er grunnen til at den nye versjonen av Microsoft Edge ikke imponerer brukere
  • Aktiver fullskjerm på Microsoft Edge med denne enkle kommandoen
  • Zoom inn Microsoft Edge med denne nye utvidelsen
Disse appene har utvunnet kryptovalutaer på din PC

Disse appene har utvunnet kryptovalutaer på din PCWindows 10 ApperWindows 10 NyheterCybersikkerhet

Symantec identifiserte nylig rundt åtte ondsinnede Windows 10-apper på Windows Store som har fått skylden mine kryptovalutaer i bakgrunnen. Tusenvis av brukere har lastet ned disse ondsinnede appen...

Les mer
Advarsel: Disse VPN-utvidelsene for Chrome lekker DNS-en din

Advarsel: Disse VPN-utvidelsene for Chrome lekker DNS-en dinPersonvernCybersikkerhetGoogle Chrome Utvidelser

Det er mange Chrome-utvidelser der ute som kan lekke DNS-en din til tredjeparter.Når det skjer, bør du enten fjerne utvidelsene eller få en VPN-tjeneste.Imidlertid kan ting være litt mer komplisert...

Les mer
Windows XP KB982316 forhindrer hackere i å få kontroll over PC-en din

Windows XP KB982316 forhindrer hackere i å få kontroll over PC-en dinWindows XpCybersikkerhet

I følge Microsoft er det identifisert et nytt sikkerhetsproblem i Windows som kan tillate en autentisert lokal angriper å kompromittere systemer for å få kontroll. En nylig utrullet oppdatering tar...

Les mer