Microsoft Edge, tanımlama bilgisi ve parola hırsızlığına karşı savunmasız

How to effectively deal with bots on your site? The best protection against click fraud.

Microsoft Kenarı tarayıcının ciddi bir parola güvenlik açığı var gibi görünüyor. Son raporlar, saldırganların veya bilgisayar korsanlarının çevrimiçi hesaplar için kullanıcı parolası ve tanımlama bilgisi dosyalarını kolayca elde edebileceğini ortaya koyuyor. Edge ve Internet Explorer hatalarını ortaya çıkarma konusunda geniş deneyime sahip olan güvenlik uzmanı Manuel Caballero tarafından keşfedildi ve kusurlar.

Saldırganlar Edge'in SOP korumasını atlayabilir

Güvenlik açığı, bir saldırganın veri URI'lerini, Meta yenileme etiketini ve aşağıdakiler gibi etki alanı olmayan sayfaları kullanarak kötü amaçlı kod yüklemesine ve yürütmesine olanak tanır. hakkında: boş. Bu istismar tekniğinin birçok varyasyonu vardır ve Caballero, bir bilgisayar korsanının yalnızca kullanıcıları kötü niyetli bir URL'ye erişmeleri için kandırarak yüksek profilli sitelerde kod yürütme yollarını göstermiştir.

Caballero, üzerinde kod çalıştırdığı üç demo gösterdi. Bing ana sayfası, başka bir kullanıcı adına tweet attı ve bir kullanıcıdan şifre ve çerez dosyalarını çaldı. Twitter hesabı.

instagram story viewer

Son saldırı, modern tarayıcıların tasarımındaki bir güvenlik hatasını yeniden ortaya çıkardı: bilgisayar korsanının bir kullanıcının oturumunu kapatın, bir oturum açma sayfası yükleyin ve kullanıcının otomatik olarak doldurduğu kimlik bilgilerini çalın. tarayıcı şifre otomatik doldurma özellik.

Güvenlik açığı hala yamalanmamış. Bu nedenle Caballero, kullanıcıların kaynak kodunu inceleyebilmeleri ve şifrelerinin ve çerezlerinin hiçbir yere yüklenmediğinden emin olabilmeleri için indirilecek demolar sağladı.

Kötü amaçlı reklamcılıkla saldırılar otomatikleştirilir

Ayrıca, saldırıların, aşağıdakiler gibi daha fazla çevrimiçi hizmetin şifrelerini veya çerezlerini boşaltmak için özelleştirilebileceği görülüyor. Amazon, Facebook ve daha fazlası. Sadece kenar etkilenir çünkü “UXSS/SOP atlamaları, her tarayıcıya özel olma eğilimindedir.”

Modern reklamlar yayınlanıyor JavaScript kodu Bu nedenle saldırganlar, bu istismarın çok sayıda kurbana teslim edilmesini otomatikleştirmek için kötü amaçlı reklam kampanyalarını kolaylaştırabilir.

Daha fazla bilgi için, Caballero'nun teknik açıklamasını okuyun konunun.

KONTROL ETMEK İÇİN İLGİLİ HİKAYELER:

  • Bu nedenle Microsoft Edge'in yeni sürümü kullanıcıları etkilemiyor
  • Bu basit komutla Microsoft Edge'de tam ekranı etkinleştirin
  • Bu yeni uzantıyla Microsoft Edge'i yakınlaştırın
Teachs.ru
Windows 10 Password Manager hatası, bilgisayar korsanlarının şifreleri çalmasına izin veriyor

Windows 10 Password Manager hatası, bilgisayar korsanlarının şifreleri çalmasına izin veriyorWindows 10Siber Güvenlik

Google'da güvenlik araştırmacısı olan Tavis Ormandy, kısa süre önce Windows 10'un Şifre Yöneticisi'nde gizlenen bir güvenlik açığı keşfetti. Bu hata, siber saldırganların şifreleri çalmak.Bu kusur,...

Devamını oku
Zepto fidye yazılımı geri döndü, Windows Defender onu engelleyemez

Zepto fidye yazılımı geri döndü, Windows Defender onu engelleyemezFidye YazılımıSiber Güvenlik

Zepto fidye yazılımı, bir süredir Windows kullanıcılarını rahatsız eden çok sinsi bir programdır. İlk olarak Temmuz ayında tespit edilen bu kötü amaçlı yazılım, Eylül ayının başından bu yana daha a...

Devamını oku
AT&T IP adresi tehlikede mi yoksa saldırıya mı uğradı? İşte yapılması gerekenler

AT&T IP adresi tehlikede mi yoksa saldırıya mı uğradı? İşte yapılması gerekenlerIp AdresiGizlilikVpnSiber Güvenlik

AT&T müşterisiyseniz, muhtemelen güvenliği ihlal edilmiş veya saldırıya uğramış IP adreslerini duymuşsunuzdur. Bir gün sizi tehlikeye atılmış IP'niz hakkında bilgilendiren bir çağrı bile alabil...

Devamını oku
ig stories viewer