Microsoft Edge sårbar for informasjonskapsel- og passordtyveri

De Microsoft Edge nettleseren ser ut til å ha et alvorlig passordssårbarhet. Nylige rapporter avslører at angripere eller hackere lett kan skaffe brukerpassord og informasjonskapselfiler for online-kontoer, et sårbarhet som ble oppdaget av sikkerhetsekspert Manuel Caballero, noen med lang erfaring med å avdekke Edge og Internet Explorer bugs og feil.

Angripere kan omgå Edge's SOP-beskyttelse

Sårbarheten lar en angriper laste og kjøre ondsinnet kode ved hjelp av data-URI, Meta-oppdateringsmerke og domeneløse sider som f.eks. om: blank. Denne utnyttelsesteknikken har mange variasjoner, og Caballero viste hvordan en hacker kunne utføre kode på høyprofilerte nettsteder bare ved å lure brukere til å få tilgang til en ondsinnet URL.

Caballero viste tre demoer der han utførte kode på Bing hjemmeside, twitret i navnet til en annen bruker, og stjal passordet og informasjonskapselfilene fra en Twitter-konto.

Det siste angrepet avslørte en sikkerhetsfeil i utformingen av moderne nettlesere: hackers evne til å logge ut en bruker, laste inn en påloggingsside og stjele brukerens legitimasjon automatisk fylt ut av nettleser

passord autofyll trekk.

Sårbarheten er fortsatt upatchet. Av denne grunn ga Caballero demoer for nedlasting, slik at brukerne kan inspisere kildekoden og sørge for at passord og informasjonskapsler ikke lastes opp hvor som helst.

Angrep blir automatisert ved feilsøking

Det ser også ut til at angrep kan tilpasses for å dumpe passordene eller informasjonskapslene til flere elektroniske tjenester som f.eks Amazon, Facebook og mer. Kun Kant er berørt fordi “UXSS / SOP-omgåelser har en tendens til å være spesielle for hver nettleser.”

Moderne annonser leveres JavaScript-kode til nettlesere, og dette er grunnen til at angripere kan legge til rette for malvertiserende kampanjer for å automatisere levering av denne utnyttelsen til et stort antall ofre.

For mer informasjon kan du les Caballeros tekniske beskrivelse av utgaven.

RELATERTE HISTORIER FOR Å KONTROLLERE:

  • Dette er grunnen til at den nye versjonen av Microsoft Edge ikke imponerer brukere
  • Aktiver fullskjerm på Microsoft Edge med denne enkle kommandoen
  • Zoom inn Microsoft Edge med denne nye utvidelsen
NTT oppretter sikkerhetsverktøy for virtuelle arbeidsplasser i Teams

NTT oppretter sikkerhetsverktøy for virtuelle arbeidsplasser i TeamsMicrosoft TeamCybersikkerhet

Flere organisasjoner legger opp til den nye distribuerte arbeidsstyrken, som er en blanding av å jobbe på kontoret og jobbe hjemmefra. NTT Data kunngjorde planer om å levere en sikkerhetsløsning fo...

Les mer
10+ beste proxyverktøy for Windows 10 for å beskytte personvernet

10+ beste proxyverktøy for Windows 10 for å beskytte personvernetPersonvernProxy InnstillingerCybersikkerhet

Tidsbesparende programvare- og maskinvarekompetanse som hjelper 200 millioner brukere årlig. Guider deg med råd, nyheter og tips for å oppgradere ditt tekniske liv.Som verdens ledende VPN gjør PIA ...

Les mer
Windows Sandbox lar deg kjøre apper trygt isolert

Windows Sandbox lar deg kjøre apper trygt isolertWindows 10 NyheterCybersikkerhet

Nyheter fra Microsofts tekniske avdeling. Snart vil vi kunne kjøre applikasjoner som vi ikke er sikre på i et "isolert, midlertidig skrivebordsmiljø" Windows sandkasse.Hva er Windows Sandbox?Tanken...

Les mer