Šķiet, ka pārlūkā Microsoft Edge ir nopietna ievainojamība parolē. Jaunākie ziņojumi atklāj, ka uzbrucēji vai hakeri var viegli iegūt tiešsaistes kontu lietotāja paroli un sīkfailu failus. Ievainojamību atklāja drošības eksperts Manuels Kaballero, kādam, kam ir liela pieredze Edge un Internet Explorer kļūdu un trūkumu atklāšanā.

Uzbrucēji var apiet Edge SOP aizsardzību

Ievainojamība ļauj uzbrucējam ielādēt un izpildīt ļaunprātīgu kodu, izmantojot datu URI, Meta atsvaidzināšanas tagu un bezdomēnu lapas, piemēram, about: blank. Šim ekspluatācijas paņēmienam ir daudz variāciju, un Caballero parādīja veidus, kā hakeris varēja izpildīt kodu augsta profila vietnēs, vienkārši maldinot lietotājus piekļūt ļaunprātīgam URL.

Kaballero parādīja trīs demonstrācijas, kurās viņš izpildīja kodu Binga mājaslapā, iekodēja cita lietotāja vārdā un nozaga paroli un sīkfailu failus no Twitter konta.

Pēdējais uzbrukums atkārtoti atklāja drošības kļūdu mūsdienu pārlūkprogrammu dizainā: hakeru spēja atteikties no lietotāja, ielādēt pieteikšanās lapu un nozagt lietotāja akreditācijas datus, kas automātiski tika aizpildīti ar pārlūka paroles automātiskās aizpildes funkciju.

Ievainojamība joprojām nav pieejama. Šī iemesla dēļ Caballero nodrošināja lejupielādējamas demonstrācijas, lai lietotāji varētu pārbaudīt avota kodu un pārliecināties, ka viņu paroles un sīkfaili nav nekur augšupielādēti.

Uzbrukumi tiek automatizēti, nepareizi izmantojot

Šķiet arī, ka uzbrukumus var pielāgot, lai izmestu vairāk tiešsaistes pakalpojumu, piemēram, Amazon, Facebook un citu, paroles vai sīkfailus. Tiek ietekmēta tikai mala, jo “ UXSS / SOP apvedceļi parasti ir raksturīgi katram pārlūkam.”

Mūsdienu reklāmas pārlūkprogrammām piegādā JavaScript kodu, un tāpēc uzbrucēji var sekmēt maldinošas kampaņas, lai automatizētu šīs izmantošanas piegādi milzīgam upuru skaitam.

Lai iegūtu papildinformāciju, varat izlasīt Caballero izdošanas tehnisko aprakstu.