Zdá sa, že prehliadač Microsoft Edge má vážnu zraniteľnosť hesla. Posledné správy ukazujú, že útočníci alebo hackeri mohli ľahko získať používateľské heslo a súbory cookie pre online účty, zraniteľnosť, ktorú objavil odborník na bezpečnosť Manuel Caballero, niekto s rozsiahlymi skúsenosťami s odkrytím chýb a nedostatkov Edge a Internet Explorer.

Útočníci môžu obísť ochranu Edge SOP

Táto chyba zabezpečenia umožňuje útočníkovi načítať a spustiť škodlivý kód pomocou dátových URI, značky Meta obnovenia a stránok bez domény, napríklad about: blank. Táto technika vykorisťovania má mnoho variácií a Caballero ukázalo spôsoby, akými by hacker mohol spustiť kód na vysoko profilových stránkach iba tak, že podvedením používateľov získa prístup k škodlivej adrese URL.

Caballero predstavil tri ukážky, v ktorých popravil kód na domovskej stránke Bing, tweetoval v mene iného používateľa a ukradol súbory hesiel a súborov cookie z účtu Twitter.

Posledný útok odhalil bezpečnostnú chybu v dizajne moderných prehliadačov: schopnosť hackera odhlásiť používateľa, načítať prihlasovaciu stránku a ukradnúť poverenia používateľa automaticky vyplnené pomocou funkcie automatického dopĺňania hesla prehliadača.

Zraniteľnosť je stále nepatria. Z tohto dôvodu poskytla spoločnosť Caballero ukážky na stiahnutie, aby používatelia mohli skontrolovať zdrojový kód a ubezpečiť sa, že ich heslá a súbory cookie sa nikde nenahrávajú.

Útoky sa automatizujú chybným inzerovaním

Zdá sa tiež, že útoky je možné prispôsobiť tak, aby výpisy hesiel alebo súborov cookie ďalších služieb online, ako sú Amazon, Facebook a ďalšie, boli odstránené. Týka sa to iba okraja, pretože „ obtoky UXSS / SOP majú tendenciu byť špecifické pre každý prehliadač.“

Moderné reklamy dodávajú do prehliadača kód JavaScript, a preto môžu útočníci uľahčiť reklamné kampane s cieľom automatizovať doručenie tohto zneužitia obrovskému množstvu obetí.

Ďalšie informácie nájdete v technickom popise problému spoločnosti Caballero.