Microsoft Edge е уязвим за кражба на бисквитки и пароли

The Microsoft Edge браузърът изглежда има сериозна уязвимост на паролата. Последните доклади разкриват, че нападателите или хакерите могат лесно да получат потребителска парола и файлове с бисквитки за онлайн акаунти, уязвимост който беше открит от експерта по сигурността Мануел Кабалеро, някой с богат опит в откриването на грешки в Edge и Internet Explorer и недостатъци.

Атакуващите могат да заобиколят SOP защитата на Edge

Уязвимостта позволява на атакуващия да зарежда и изпълнява злонамерен код, използвайки URI на данни, таг за опресняване на Meta и страници без домейн, като за: празно. Тази техника на експлоатация има много вариации и Caballero показа начините, по които хакер може да изпълнява код на високопрофилни сайтове, просто като подвежда потребителите до достъп до злонамерен URL адрес.

Кабалеро показа три демо версии, в които изпълни код на Начална страница на Bing, туитва в името на друг потребител и открадна файловете с пароли и бисквитки от Twitter акаунт.

Последната атака отново изложи грешка в сигурността в дизайна на съвременните браузъри: способността на хакера да излезте от потребител, заредете страница за вход и откраднете идентификационните данни на потребителя, автоматично попълнени от на браузъра

парола за автоматично попълване особеност.

Уязвимостта все още не е закърпена. Поради тази причина Caballero предостави демонстрации за изтегляне, така че потребителите да могат да проверят изходния код и да се уверят, че техните пароли и бисквитки не са качени никъде.

Атаките се автоматизират чрез злоупотреба

Също така изглежда, че атаките могат да бъдат персонализирани, за да изхвърлят паролите или бисквитките на повече онлайн услуги като Amazon, Facebook и други. Само Ръб, край е засегната, защото „UXSS / SOP байпасите обикновено са специфични за всеки браузър.”

Съвременните реклами доставят JavaScript код за браузърите и затова нападателите могат да улеснят кампании за злоупотреба, за да автоматизират предоставянето на този експлойт на огромно количество жертви.

За повече информация можете прочетете техническото описание на Кабалеро на изданието.

СВЪРЗАНИ ИСТОРИИ ЗА ПРОВЕРКА:

  • Ето защо новата версия на Microsoft Edge не впечатлява потребителите
  • Активирайте цял екран на Microsoft Edge с тази проста команда
  • Увеличете Microsoft Edge с това ново разширение
Компютрите с Windows 10 са насочени към Ransomware като атака на услуга

Компютрите с Windows 10 са насочени към Ransomware като атака на услугаRansomwareКибер защита

Avaddon използва партньорска програма на RaaS, за да достави рансъмуер на нищо неподозиращите потребители на компютър с Windows.Жертвите трябва да платят на Avaddon такса за откуп, за да дешифрират...

Прочетете още
Facebook проследява вашето местоположение, ако акаунтът ви се счита за заплаха

Facebook проследява вашето местоположение, ако акаунтът ви се счита за заплахаКибер защитаFacebook

Facebook съобщава, че поддържа списък с потребителски данни, взети директно от техните акаунти. Може да се изненадате да разберете, че бившите и съществуващите служители на Facebook са били засегна...

Прочетете още
KB890830 актуализира инструмент за премахване на зловреден софтуер за актуализация на годишнината

KB890830 актуализира инструмент за премахване на зловреден софтуер за актуализация на годишнинатаАктуализация на годишнинатаКибер защита

Microsoft обяви тотално война със зловреден софтуер чрез разгръщане на поредица от актуализации на защитата насочени към закърпване на различни системни уязвимости в Windows 10 Актуализация на годи...

Прочетете още