Microsoft Edge เสี่ยงต่อการขโมยคุกกี้และรหัสผ่าน

Microsoft Edge เบราว์เซอร์ดูเหมือนจะมีช่องโหว่ของรหัสผ่านที่รุนแรง รายงานล่าสุดเปิดเผยว่าผู้โจมตีหรือแฮ็กเกอร์สามารถรับรหัสผ่านผู้ใช้และไฟล์คุกกี้สำหรับบัญชีออนไลน์ได้อย่างง่ายดาย ซึ่งเป็นช่องโหว่ ที่ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัย มานูเอล กาบาเยโร ผู้ที่มีประสบการณ์มากมายในการค้นพบบั๊กของ Edge และ Internet Explorer และ ข้อบกพร่อง.

ผู้โจมตีสามารถเลี่ยงการป้องกัน SOP ของ Edge ได้

ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถโหลดและรันโค้ดที่เป็นอันตรายได้โดยใช้ URI ข้อมูล เมตาแท็กรีเฟรช และเพจที่ไม่มีโดเมน เช่น เกี่ยวกับ: ว่างเปล่า. เทคนิคการแสวงหาผลประโยชน์นี้มีหลายรูปแบบ และ Caballero ได้แสดงวิธีที่แฮ็กเกอร์สามารถรันโค้ดบนไซต์ที่มีรายละเอียดสูงได้เพียงแค่หลอกให้ผู้ใช้เข้าถึง URL ที่เป็นอันตราย

Caballero แสดงการสาธิตสามครั้งที่เขารันโค้ดบน หน้าแรกของ Bingทวีตในชื่อผู้ใช้รายอื่น และขโมยรหัสผ่านและไฟล์คุกกี้จาก a บัญชีทวิตเตอร์.

การโจมตีครั้งล่าสุดเผยให้เห็นข้อผิดพลาดด้านความปลอดภัยอีกครั้งในการออกแบบเบราว์เซอร์สมัยใหม่: ความสามารถของแฮกเกอร์ในการ ออกจากระบบผู้ใช้ โหลดหน้าเข้าสู่ระบบ และขโมยข้อมูลประจำตัวของผู้ใช้ที่กรอกโดยอัตโนมัติโดย automatically เบราว์เซอร์

ป้อนรหัสผ่านอัตโนมัติ ลักษณะเฉพาะ.

ช่องโหว่ยังไม่ได้รับการแก้ไข ด้วยเหตุผลนี้ Caballero ได้จัดเตรียมการสาธิตให้ดาวน์โหลด เพื่อให้ผู้ใช้สามารถตรวจสอบซอร์สโค้ด และตรวจสอบให้แน่ใจว่ารหัสผ่านและคุกกี้ของพวกเขาไม่ได้ถูกอัปโหลดไว้ที่ใด

การโจมตีเป็นไปโดยอัตโนมัติโดยการโฆษณามัลแวร์

ดูเหมือนว่าสามารถปรับแต่งการโจมตีเพื่อทิ้งรหัสผ่านหรือคุกกี้ของบริการออนไลน์อื่นๆ เช่น อเมซอน, เฟสบุ๊ค และอื่นๆ เท่านั้น ขอบ ได้รับผลกระทบเพราะ “การเลี่ยงผ่าน UXSS/SOP มักจะเจาะจงสำหรับแต่ละเบราว์เซอร์.”

การแสดงโฆษณาสมัยใหม่ รหัส JavaScript ให้กับเบราว์เซอร์ และนี่คือเหตุผลที่ผู้โจมตีสามารถอำนวยความสะดวกให้กับแคมเปญโฆษณามัลแวร์เพื่อส่งการใช้ประโยชน์จากช่องโหว่นี้ไปยังเหยื่อจำนวนมหาศาลโดยอัตโนมัติ

สำหรับข้อมูลเพิ่มเติม คุณสามารถ อ่านคำอธิบายทางเทคนิคของกาบาเยโร ของปัญหา

เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:

  • นี่คือเหตุผลที่ Microsoft Edge เวอร์ชันใหม่ไม่สร้างความประทับใจให้ผู้ใช้
  • เปิดใช้งานแบบเต็มหน้าจอบน Microsoft Edge ด้วยคำสั่งง่ายๆ นี้
  • ซูมเข้า Microsoft Edge ด้วยส่วนขยายใหม่นี้
การแก้ไข: ข้อผิดพลาด 0xa297sa ข้อความหลอกลวงสนับสนุนปลอม

การแก้ไข: ข้อผิดพลาด 0xa297sa ข้อความหลอกลวงสนับสนุนปลอมกลโกงความปลอดภัยทางไซเบอร์

การตกเป็นเหยื่อของข้อความหลอกลวงอาจทำให้ข้อมูลส่วนบุคคลของคุณตกอยู่ในอันตราย เนื่องจากผู้โจมตีอาจเข้าถึงพีซีของคุณจากระยะไกลได้ในบางกรณีข้อความหลอกลวงจะโฆษณาได้ดีที่สุดโดยใช้ a เครื่องมือป้องกันไวร...

อ่านเพิ่มเติม
Windows XP KB4500331 แก้ไขช่องโหว่ด้านความปลอดภัยที่รุนแรง

Windows XP KB4500331 แก้ไขช่องโหว่ด้านความปลอดภัยที่รุนแรงWindows Xpความปลอดภัยทางไซเบอร์

Microsoft เพิ่งเปิดตัวการปรับปรุงที่สำคัญ (KB4500331) เพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Windows XP. เป็นเวลาหลายปีแล้วที่ Microsoft ยุติการสนับสนุนระบบปฏิบัติการอย่างเป็นทางการการที่บริ...

อ่านเพิ่มเติม
ซอฟต์แวร์ล็อคแล็ปท็อป: เครื่องมือที่ดีที่สุดสำหรับการป้องกันการโจรกรรม

ซอฟต์แวร์ล็อคแล็ปท็อป: เครื่องมือที่ดีที่สุดสำหรับการป้องกันการโจรกรรมแล็ปท็อปความปลอดภัยความปลอดภัยทางไซเบอร์

ความเชี่ยวชาญด้านซอฟต์แวร์และฮาร์ดแวร์ที่ช่วยประหยัดเวลาซึ่งช่วยผู้ใช้ 200 ล้านคนต่อปี ให้คำแนะนำวิธีการ ข่าวสาร และเคล็ดลับในการยกระดับชีวิตเทคโนโลยีของคุณWindows Shutdown AssistantWindows Shutdow...

อ่านเพิ่มเติม