Microsoft Edge уязвим для кражи файлов cookie и паролей
Браузер Microsoft Edge, кажется, имеет серьезную уязвимость пароля. Недавние сообщения показывают, что злоумышленники или хакеры могут легко получить пароль пользователя и файлы cookie для учетных записей в Интернете, уязвимость, обнаруженную экспертом по безопасности Мануэлем Кабальеро, человеком с огромным опытом выявления ошибок и недостатков в Edge и Internet Explorer.
Злоумышленники могут обойти SOP-защиту Edge
Эта уязвимость позволяет злоумышленнику загружать и выполнять вредоносный код, используя URI данных, метатегативный тег и страницы без домена, например about: blank . Этот метод эксплуатации имеет много вариаций, и Caballero показал, каким образом хакер может выполнять код на высококлассных сайтах, просто обманывая пользователей для доступа к вредоносному URL.
Кабальеро показал три демонстрации, в которых он выполнил код на домашней странице Bing , написал в Твиттере от имени другого пользователя и украл пароль и файлы cookie из учетной записи Twitter .
Последняя атака снова выявила ошибку безопасности в дизайне современных браузеров: способность хакера выйти из системы, загрузить страницу входа и украсть учетные данные пользователя, автоматически заполняемые функцией автозаполнения пароля в браузере.
Уязвимость все еще не исправлена. По этой причине Caballero предоставил демоверсии для загрузки, чтобы пользователи могли просматривать исходный код и следить за тем, чтобы их пароли и файлы cookie нигде не загружались.
Атаки автоматизированы с помощью вредоносной рекламы
Также кажется, что атаки можно настроить так, чтобы они сбрасывали пароли или файлы cookie других онлайн-сервисов, таких как Amazon , Facebook и т. Д. Это касается только Edge, потому что « обходы UXSS / SOP имеют тенденцию быть специфичными для каждого браузера ».
Современная реклама доставляет код JavaScript в браузеры, и именно поэтому злоумышленники могут содействовать кампаниям по распространению вредоносной рекламы, чтобы автоматизировать доставку этого эксплойта огромному количеству жертв.
Для получения дополнительной информации вы можете прочитать техническое описание проблемы Caballero .
СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:
- Вот почему новая версия Microsoft Edge не впечатляет пользователей
- Включите полноэкранный режим в Microsoft Edge с помощью этой простой команды
- Увеличить Microsoft Edge с этим новым расширением