Microsoft Kenarı tarayıcının ciddi bir parola güvenlik açığı var gibi görünüyor. Son raporlar, saldırganların veya bilgisayar korsanlarının çevrimiçi hesaplar için kullanıcı parolası ve tanımlama bilgisi dosyalarını kolayca elde edebileceğini ortaya koyuyor. Edge ve Internet Explorer hatalarını ortaya çıkarma konusunda geniş deneyime sahip olan güvenlik uzmanı Manuel Caballero tarafından keşfedildi ve kusurlar.
Saldırganlar Edge'in SOP korumasını atlayabilir
Güvenlik açığı, bir saldırganın veri URI'lerini, Meta yenileme etiketini ve aşağıdakiler gibi etki alanı olmayan sayfaları kullanarak kötü amaçlı kod yüklemesine ve yürütmesine olanak tanır. hakkında: boş. Bu istismar tekniğinin birçok varyasyonu vardır ve Caballero, bir bilgisayar korsanının yalnızca kullanıcıları kötü niyetli bir URL'ye erişmeleri için kandırarak yüksek profilli sitelerde kod yürütme yollarını göstermiştir.
Caballero, üzerinde kod çalıştırdığı üç demo gösterdi. Bing ana sayfası, başka bir kullanıcı adına tweet attı ve bir kullanıcıdan şifre ve çerez dosyalarını çaldı. Twitter hesabı.
Son saldırı, modern tarayıcıların tasarımındaki bir güvenlik hatasını yeniden ortaya çıkardı: bilgisayar korsanının bir kullanıcının oturumunu kapatın, bir oturum açma sayfası yükleyin ve kullanıcının otomatik olarak doldurduğu kimlik bilgilerini çalın. tarayıcı şifre otomatik doldurma özellik.
Güvenlik açığı hala yamalanmamış. Bu nedenle Caballero, kullanıcıların kaynak kodunu inceleyebilmeleri ve şifrelerinin ve çerezlerinin hiçbir yere yüklenmediğinden emin olabilmeleri için indirilecek demolar sağladı.
Kötü amaçlı reklamcılıkla saldırılar otomatikleştirilir
Ayrıca, saldırıların, aşağıdakiler gibi daha fazla çevrimiçi hizmetin şifrelerini veya çerezlerini boşaltmak için özelleştirilebileceği görülüyor. Amazon, Facebook ve daha fazlası. Sadece kenar etkilenir çünkü “UXSS/SOP atlamaları, her tarayıcıya özel olma eğilimindedir.”
Modern reklamlar yayınlanıyor JavaScript kodu Bu nedenle saldırganlar, bu istismarın çok sayıda kurbana teslim edilmesini otomatikleştirmek için kötü amaçlı reklam kampanyalarını kolaylaştırabilir.
Daha fazla bilgi için, Caballero'nun teknik açıklamasını okuyun konunun.
KONTROL ETMEK İÇİN İLGİLİ HİKAYELER:
- Bu nedenle Microsoft Edge'in yeni sürümü kullanıcıları etkilemiyor
- Bu basit komutla Microsoft Edge'de tam ekranı etkinleştirin
- Bu yeni uzantıyla Microsoft Edge'i yakınlaştırın
