Microsoft Edge браузер, здається, має серйозну вразливість паролем. Останні звіти показують, що зловмисники або хакери могли легко отримати пароль користувача та файли cookie для онлайнових облікових записів, що є вразливістю який виявив експерт з безпеки Мануель Кабальєро, хтось із великим досвідом виявлення помилок Edge та Internet Explorer вади.
Зловмисники можуть обійти захист SOP від Edge
Уразливість дозволяє зловмиснику завантажувати та виконувати зловмисний код, використовуючи URI даних, тег метаоновлення та бездоменні сторінки, такі як про: порожній. Ця техніка експлуатації має багато варіацій, і Кабальєро показав способи, за допомогою яких хакер може виконувати код на гучних сайтах, просто обманюючи користувачів на доступ до шкідливої URL-адреси.
Кабальєро показав три демо-версії, в яких він виконував код на Домашня сторінка Bing, написав твіт на ім'я іншого користувача та викрав файли паролів та файлів cookie з Обліковий запис у Twitter.
Остання атака знову виявила помилку безпеки в дизайні сучасних браузерів: здатність хакера вийти з користувача, завантажити сторінку входу та викрасти облікові дані користувача, автоматично заповнені браузера
автозаповнення пароля - особливість.Вразливість досі не виправлена. З цієї причини Caballero надав демо-версії для завантаження, щоб користувачі могли перевірити вихідний код та переконатися, що їх паролі та файли cookie ніде не завантажені.
Атаки автоматизуються шляхом зловживання рекламою
Також здається, що атаки можна налаштувати так, щоб вони скидали паролі або файли cookie більшості онлайн-сервісів, таких як Амазонка, Facebook тощо. Тільки Край впливає, тому що "Обходи UXSS / SOP, як правило, притаманні кожному браузеру.”
Сучасна реклама доставляє Код JavaScript для браузерів, і саме тому зловмисники можуть сприяти кампаніям зловживання рекламою, щоб автоматизувати доставку цього подвигу величезній кількості жертв.
Для отримання додаткової інформації ви можете прочитайте технічний опис Кабальєро випуску.
Пов’язані історії для перевірки:
- Ось чому нова версія Microsoft Edge не вражає користувачів
- Увімкніть повноекранний режим у Microsoft Edge за допомогою цієї простої команди
- Збільште Microsoft Edge за допомогою цього нового розширення
