Microsoft edge, çerez ve şifre hırsızlığına karşı savunmasız
İçindekiler:
- Saldırganlar Edge'in SOP korumasını atlayabilir
- Saldırılar malvertising tarafından otomatikleştirilir
Video: The New Microsoft Edge Browser For Mobile 🔥 2024
Microsoft Edge tarayıcısının ciddi bir şifre güvenlik açığı var. Son raporlar, saldırganların veya bilgisayar korsanlarının, çevrimiçi hesaplar için kullanıcı şifresini ve çerez dosyalarını kolayca alabileceğini, güvenlik açığı Edge ve Internet Explorer hatalarını ve kusurlarını engin şekilde deneyimleyen biri olan güvenlik uzmanı Manuel Caballero tarafından keşfedilen bir güvenlik açığı olduğunu ortaya koyuyor.
Saldırganlar Edge'in SOP korumasını atlayabilir
Güvenlik açığı, saldırganın veri URI'leri, Meta yenileme etiketi ve yaklaşık: boş gibi etki alanı içermeyen sayfaları kullanarak kötü amaçlı kod yüklemesini ve yürütmesini sağlar. Bu sömürü tekniğinin bir çok çeşidi var ve Caballero, bir hacker'ın yüksek profilli sitelerdeki kodları yalnızca kullanıcıları kötü niyetli bir URL'ye erişmeleri için kandırarak yürütebildiğini gösterdi.
Caballero, Bing ana sayfasında kod uyguladığı, başka bir kullanıcı adına tweet attığı ve bir Twitter hesabından şifre ve çerez dosyalarını çaldığı üç gösteri gösterdi.
Son saldırı, modern tarayıcıların tasarımında bir güvenlik hatasını tekrar ortaya çıkardı: bilgisayar korsanının bir kullanıcı oturumunu kapatma, bir giriş sayfası yükleme ve tarayıcının parola otomatik doldurma özelliği tarafından otomatik olarak doldurulan kullanıcı kimlik bilgilerini çalma yeteneği.
Güvenlik açığı hala yamalanmamış. Bu nedenle, Caballero, kullanıcıların kaynak kodunu inceleyebilmeleri ve şifrelerinin ve çerezlerinin herhangi bir yere yüklenmediğinden emin olmalarını sağlamak için demolar sağlamıştır.
Saldırılar malvertising tarafından otomatikleştirilir
Ayrıca, Amazon, Facebook ve daha pek çok çevrimiçi hizmetin şifrelerini veya çerezlerini atmak için saldırıların özelleştirilebileceği görülmektedir. Yalnızca Edge etkilenir çünkü “ UXSS / SOP bypassları her tarayıcıya özel olma eğilimindedir ”.
Modern reklamlar, tarayıcılara JavaScript kodu sağlar ve bu nedenle saldırganların bu istismarın çok sayıda kurbana dağıtımını otomatikleştirmek için kötü amaçlı reklam kampanyalarını kolaylaştırabilir.
Daha fazla bilgi için, Caballero'nun konuyla ilgili teknik açıklamasını okuyabilirsiniz.
Bilgisayarın çökmeye ve hayalete karşı savunmasız olup olmadığını kontrol etmek için bu aracı indirin
Meltdown ve Spectre bugünlerde herkesin ağzındaki iki kelime. Pek çok bilgisayar, telefon ve sunucu kullanıcısı bu güvenlik açığına maruz kalma riskinden endişe duyuyor olsa da, Microsoft zaten bu güvenlik sorunlarını yamalamayı amaçlayan bir dizi güncelleme yayımladı. Aynı zamanda, bu yamaların…
Windows 7 erime yama, adetleri tehditlere karşı daha savunmasız hale getirir
Birkaç hafta önce, Microsoft, Windows 7'de devam eden Spectre ve Meltdown güvenlik açıklarını gidermek için hızla bir düzeltme eki çıkardı. Ne yazık ki, şirketin Meltdown yaması aslında daha da fazla güvenlik sorununu tetiklediği için işler planlandığı gibi bitmedi. Yama, Windows 7'de daha fazla hata getirdi ve tüm kullanıcı seviyesindeki uygulamaların içerik okumasına izin verdi…
Microsoft Edge'in güvenlik uyarıları, teknik destek aldatmaca kullanımına karşı savunmasız
Microsoft Edge, Chrome ve Firefox’tan daha güvenli olduğundan, tarayıcının güvenlik uyarısı, teknik destek dolandırıcılık kötüye kullanımına karşı hassastır. Bir güvenlik araştırmacısı, Edge’de, dolandırıcıların herhangi bir etki alanı için sahte bir güvenlik uyarısı göstermesine neden olabilecek bir güvenlik açığı olduğunu keşfetti. Broken Browser blogunu sürdüren Manuel Caballero, dolandırıcıların yapabileceklerini buldu…
