Zdá se, že prohlížeč Microsoft Edge má vážnou chybu zabezpečení. Nedávné zprávy ukazují, že útočníci nebo hackeři mohli snadno získat uživatelské heslo a soubory cookie pro online účty, což je chyba, kterou objevil odborník na bezpečnost Manuel Caballero, někdo s obrovskými zkušenostmi s odhalováním chyb a nedostatků Edge a Internet Explorer.

Útočníci mohou obejít ochranu Edge SOP

Tato chyba zabezpečení umožňuje útočníkovi načíst a spustit škodlivý kód pomocí datových URI, obnovovací značky Meta a stránek bez domény, například about: blank. Tato technika vykořisťování má mnoho variací a Caballero předvedlo způsoby, jak by hacker mohl spustit kód na vysoce profilových webech pouhým podváděním uživatelů, aby získali přístup ke škodlivé adrese URL.

Caballero ukázal tři dema, ve kterých provedl kód na domovské stránce Bing, tweetoval jménem jiného uživatele a ukradl heslo a soubory cookie z účtu Twitter.

Poslední útok znovu odhalil chybu zabezpečení v designu moderních prohlížečů: schopnost hackera odhlásit uživatele, načíst přihlašovací stránku a odcizit přihlašovací údaje uživatele automaticky vyplněné funkcí automatického vyplňování hesla v prohlížeči.

Zranitelnost je stále nepatřená. Z tohoto důvodu poskytla společnost Caballero dema ke stažení, aby uživatelé mohli zkontrolovat zdrojový kód a ujistit se, že jejich hesla a soubory cookie se nikde nenahrávají.

Útoky jsou automatizovány chybnou inzercí

Zdá se také, že útoky lze přizpůsobit tak, aby vypouštěly hesla nebo soubory cookie dalších online služeb, jako jsou Amazon, Facebook a další. Ovlivněno je pouze Edge, protože „ obtoky UXSS / SOP mají sklon být zvláštní pro každý prohlížeč.“

Moderní reklamy dodávají do prohlížečů kód JavaScript, a proto mohou útočníci usnadnit reklamní kampaně za účelem automatizace doručování tohoto zneužití obrovskému množství obětí.

Další informace naleznete v technickém popisu problému společnosti Caballero.