Microsoft Edge เบราว์เซอร์ดูเหมือนจะมีช่องโหว่ของรหัสผ่านที่รุนแรง รายงานล่าสุดเปิดเผยว่าผู้โจมตีหรือแฮ็กเกอร์สามารถรับรหัสผ่านผู้ใช้และไฟล์คุกกี้สำหรับบัญชีออนไลน์ได้อย่างง่ายดาย ซึ่งเป็นช่องโหว่ ที่ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัย มานูเอล กาบาเยโร ผู้ที่มีประสบการณ์มากมายในการค้นพบบั๊กของ Edge และ Internet Explorer และ ข้อบกพร่อง.
ผู้โจมตีสามารถเลี่ยงการป้องกัน SOP ของ Edge ได้
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถโหลดและรันโค้ดที่เป็นอันตรายได้โดยใช้ URI ข้อมูล เมตาแท็กรีเฟรช และเพจที่ไม่มีโดเมน เช่น เกี่ยวกับ: ว่างเปล่า. เทคนิคการแสวงหาผลประโยชน์นี้มีหลายรูปแบบ และ Caballero ได้แสดงวิธีที่แฮ็กเกอร์สามารถรันโค้ดบนไซต์ที่มีรายละเอียดสูงได้เพียงแค่หลอกให้ผู้ใช้เข้าถึง URL ที่เป็นอันตราย
Caballero แสดงการสาธิตสามครั้งที่เขารันโค้ดบน หน้าแรกของ Bingทวีตในชื่อผู้ใช้รายอื่น และขโมยรหัสผ่านและไฟล์คุกกี้จาก a บัญชีทวิตเตอร์.
การโจมตีครั้งล่าสุดเผยให้เห็นข้อผิดพลาดด้านความปลอดภัยอีกครั้งในการออกแบบเบราว์เซอร์สมัยใหม่: ความสามารถของแฮกเกอร์ในการ ออกจากระบบผู้ใช้ โหลดหน้าเข้าสู่ระบบ และขโมยข้อมูลประจำตัวของผู้ใช้ที่กรอกโดยอัตโนมัติโดย automatically เบราว์เซอร์
ป้อนรหัสผ่านอัตโนมัติ ลักษณะเฉพาะ.ช่องโหว่ยังไม่ได้รับการแก้ไข ด้วยเหตุผลนี้ Caballero ได้จัดเตรียมการสาธิตให้ดาวน์โหลด เพื่อให้ผู้ใช้สามารถตรวจสอบซอร์สโค้ด และตรวจสอบให้แน่ใจว่ารหัสผ่านและคุกกี้ของพวกเขาไม่ได้ถูกอัปโหลดไว้ที่ใด
การโจมตีเป็นไปโดยอัตโนมัติโดยการโฆษณามัลแวร์
ดูเหมือนว่าสามารถปรับแต่งการโจมตีเพื่อทิ้งรหัสผ่านหรือคุกกี้ของบริการออนไลน์อื่นๆ เช่น อเมซอน, เฟสบุ๊ค และอื่นๆ เท่านั้น ขอบ ได้รับผลกระทบเพราะ “การเลี่ยงผ่าน UXSS/SOP มักจะเจาะจงสำหรับแต่ละเบราว์เซอร์.”
การแสดงโฆษณาสมัยใหม่ รหัส JavaScript ให้กับเบราว์เซอร์ และนี่คือเหตุผลที่ผู้โจมตีสามารถอำนวยความสะดวกให้กับแคมเปญโฆษณามัลแวร์เพื่อส่งการใช้ประโยชน์จากช่องโหว่นี้ไปยังเหยื่อจำนวนมหาศาลโดยอัตโนมัติ
สำหรับข้อมูลเพิ่มเติม คุณสามารถ อ่านคำอธิบายทางเทคนิคของกาบาเยโร ของปัญหา
เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:
- นี่คือเหตุผลที่ Microsoft Edge เวอร์ชันใหม่ไม่สร้างความประทับใจให้ผู้ใช้
- เปิดใช้งานแบบเต็มหน้าจอบน Microsoft Edge ด้วยคำสั่งง่ายๆ นี้
- ซูมเข้า Microsoft Edge ด้วยส่วนขยายใหม่นี้
