-> ->

Новая уязвимость в Edge позволяет похищать пароли и куки

Как бы компания Microsoft не старалась представить свой новый фирменный веб-обозреватель в лучшем свете в качестве наиболее надежного и безопасного, в нем все равно регулярно обнаруживаются серьезные уязвимости, которые опытными хакерами могут использоваться для похищения личных данных пользователей. Очередная обнаруженная брешь как раз служит для этого.

Ее обнаружил независимый исследователь Мануэль Кабальеро из Аргентины. Он ведет свой собственный блог под названием Brokem Browser. Именно там впервые появилась запись о новом баге в фирменном веб-обозревателе Edge. По словам Кабальеро, обнаруженная в браузере брешь позволяет обойти политику единого происхождения или SOP. С помощью этого хакеры могут добраться до учетных записей пользователей, скопировать всю нужную информацию и даже похитить куки-файлы из веб-обозревателя.

Концепция политики единого происхождения была разработана еще очень давно. Если разбираться в специфике ее работы, то ее можно объяснить следующим образом. Все сценарии страниц, находящихся в пределах одного сайта, могут получить неограниченный доступ к используемым друг другом свойствам и методам. Но при этом методы и свойства сценариев, выполняемых на страницах других сайтов, для них остаются недоступными. У источников сценариев, относящихся к одному сайту, обязательно должны совпадать протокол, порт и домен.

Исследователь отмечает, что эту политику можно запросто обойти, если подделать реферрер. Это удается сделать благодаря тому, что на многих сайтах используются так называемые плавающие фреймы, а также существуют унифицированные идентификаторы ресурса URI.

В своем официальном блоге исследователь опубликовал подробное описание процесса осуществления атаки. Также в его описании указано, как хакер получает доступ к паролям пользователя. Для этого ему необходимо внедрить специальный фрагмент кода в домены с сохраненными паролями. Как только Edge обнаружит, что эти данные остались не заполнены, он автоматически заполнит их.

Отметим, что Кабальеро и раньше удавалось обнаруживать серьезные баги в популярных веб-обозревателях. Ранее он обнаружил уязвимость в Internet Explorer, которая позволяет совершить бесконечную JavaScript-атаку. А еще раньше он нашел способ, позволяющий выводить на экран поддельные SmartScreen-сообщения в Edge.

На сегодняшний день уже известно по крайней мере о трех уязвимостях, позволяющих обходить политику единого происхождения в новом фирменном браузере от Microsoft. Но сама компания пока не уделяет им должного внимания, поэтому до сих пор ни одна из них не устранена.

Тем временем тратятся огромные усилия на то, чтобы привлечь внимание пользователей к новому продукту, который до сих пор остается в тени. Его доля на рынке увеличивается, но очень медленно, что не дает ему возможность конкурировать с другими аналогичными продуктами, имеющими более высокую популярность. В то же время у операционной системы Windows 10 дела обстоят намного лучше. Это говорит о том, что пользователи переходят на новую ОС, но впоследствии устанавливают себе в качестве браузера по умолчанию либо Google Chrome, либо Mozilla Firefox.

Поставить рейтинг:(Рейтинг: 3.1, оценок: 10)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.