Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Уязвимость в браузере Microsoft Edge позволяет красть cookie и пароли пользователей с различных сайтов

Новости

Уязвимость в браузере Microsoft Edge позволяет обойти защитный механизм Same Origin Policy (SOP) и украсть личные данные пользователей.

506 открытий518 показов

В браузере Microsoft Edge обнаружена уязвимость, которая позволяет обойти защитный механизм Same Origin Policy (SOP) и украсть данные пользователей, такие как пароли и файлы cookie, содержащие личную информацию.

Как устроена атака?

SOP должен предотвращать загрузку сайтом ресурсов и кода с любых доменов, кроме своего. Для совершения атаки злоумышленник может использовать комбинацию перенаправления серверных запросов со схемой data URI (с подробностями можно ознакомиться в блоге исследователя, обнаружившего уязвимость). В итоге хакер получает возможность вставить форму ввода пароля с другого домена, а встроенный менеджер Edge заполняет ее сохраненными ранее пользовательскими данными. Вот запись атаки:

Превью видео vO6LRO6Sgcg

Подобным образом можно красть и cookie, с демонстрациями можно ознакомиться на специально созданной автором странице.

Ранее тот же исследователь обнаружил еще несколько серьезных уязвимостей в браузерах Microsoft, одна из которых связана с JavaScript в Internet Explorer (и все еще не закрыта). Сейчас известно о трех уязвимостях, связанных с SOP, которые тоже никто не спешит закрывать. Недавно Edge избавили от угрозы безопасности в фильтре SmartScreen, выявленной еще в декабре, но патч удалось обойти в течение нескольких минут:

Следите за новыми постами
Следите за новыми постами по любимым темам
506 открытий518 показов
Также рекомендуем
OpenAI в центре внимания: уязвимости и хакерская атака
OpenAI в центре внимания: уязвимости и хакерская атака
Прошедшая неделя стала непростой для создателей ChatGPT, так как они дважды оказывались в центре внимания из-за проблем с безопасностью
🔥 У Proton появился защищенный и приватный аналог Google Docs
🔥 У Proton появился защищенный и приватный аналог Google Docs
Разработчики из Proton представили свой новый интересный проект — «убийцу» Google Docs и Microsoft Word под названием Proton Docs
Исследование: у ИБ-специалистов обычно меньше недели на установку апдейтов
Исследование: у ИБ-специалистов обычно меньше недели на установку апдейтов
Исследование Positive Technologies выявило, что ИБ-специалисты имеют менее недели на установку апдейтов. Вирусы и хакеры активно эксплуатируют уязвимости в WinRAR, Fortinet и Spring Framework. Эксперты рекомендуют инвентаризацию активов и системы управления уязвимостями для защиты IT-компаний.
Антивирус Microsoft Defender научился выявлять опасные Wi-Fi точки
Антивирус Microsoft Defender научился выявлять опасные Wi-Fi точки
Microsoft обновила антивирус Defender, добавив функцию обнаружения небезопасных Wi-Fi сетей. Новая защита автоматически предупреждает пользователей о подозрительных точках доступа, используя эвристический анализ