Изглежда, че браузърът Microsoft Edge има сериозна уязвимост на паролата. Последните доклади разкриват, че нападателите или хакерите могат лесно да получат потребителска парола и файлове с бисквитки за онлайн акаунти, уязвимост, открита от експерта по сигурността Мануел Кабалеро, човек с богат опит в откриването на грешки и недостатъци на Edge и Internet Explorer.

Нападателите могат да заобиколят SOP защитата на Edge

Уязвимостта позволява на атакуващия да зарежда и изпълнява злонамерен код, използвайки URI, данни, Meta refresh tag и страници без домейни като about: blank. Тази техника на експлоатация има много вариации и Caballero показа начините, по които хакерът може да изпълнява код на сайтове с висок профил само чрез измама на потребителите за достъп до злонамерен URL адрес.

Кабалеро показа три демонстрации, в които той изпълнява код на началната страница на Bing, туитва в името на друг потребител и открадва файловете за парола и бисквитки от акаунт в Twitter.

Последната атака отново изложи грешка в защитата в дизайна на съвременните браузъри: способността на хакера да излезе от потребител, да зареди страница за вход и да открадне автоматично идентификационните данни на потребителя, попълнени от функцията за автоматично попълване на паролата на браузъра.

Уязвимостта все още е неподправена. Поради тази причина Caballero предостави демо за изтегляне, така че потребителите да могат да проверяват изходния код и да се уверят, че техните пароли и бисквитки не се качват никъде.

Атаките се автоматизират чрез неправилна реклама

Изглежда също, че атаките могат да бъдат персонализирани, за да изхвърлят паролите или бисквитките на повече онлайн услуги като Amazon, Facebook и други. Само Edge е засегнат, тъй като „ UXSS / SOP байпасите обикновено са специфични за всеки браузър.“

Съвременните реклами доставят JavaScript код на браузърите и затова нападателите могат да улеснят кампаниите за злоупотреба, за да автоматизират доставката на този експлоатация на огромно количество жертви.

За повече информация можете да прочетете техническото описание на изданието на Caballero.