Microsoft Edge podatny na kradzież plików cookie i haseł
Spisu treści:
Wideo: Новые функции обновленного браузера Microsoft Edge 🆕🌎💻 2024
Przeglądarka Microsoft Edge wydaje się mieć poważną lukę w zabezpieczeniach hasłem. Ostatnie raporty ujawniają, że osoby atakujące lub hakerzy mogą łatwo uzyskać hasło użytkownika i pliki cookie do kont internetowych. Luka została odkryta przez eksperta ds. Bezpieczeństwa Manuela Caballero, kogoś z dużym doświadczeniem w wykrywaniu błędów i wad programu Edge i Internet Explorer.
Atakujący mogą ominąć ochronę SOP Edge'a
Luka umożliwia atakującemu załadowanie i wykonanie złośliwego kodu przy użyciu identyfikatorów URI danych, znacznika odświeżania meta i stron bezdomnych, takich jak about: blank. Ta technika wykorzystywania ma wiele odmian, a Caballero pokazał, w jaki sposób haker może wykonać kod w głośnych witrynach, oszukując użytkowników w celu uzyskania dostępu do złośliwego adresu URL.
Caballero pokazał trzy wersje demonstracyjne, w których wykonał kod na stronie głównej Bing, opublikował tweeta w imieniu innego użytkownika oraz ukradł hasło i pliki cookie z konta na Twitterze.
Ostatni atak ponownie ujawnił błąd bezpieczeństwa w projektowaniu nowoczesnych przeglądarek: zdolność hakera do wylogowania użytkownika, załadowania strony logowania i kradzieży poświadczeń użytkownika automatycznie wypełnianych przez funkcję autouzupełniania hasła przeglądarki.
Luka jest nadal niezałatana. Z tego powodu Caballero zapewnił wersje demonstracyjne do pobrania, aby użytkownicy mogli sprawdzić kod źródłowy i upewnić się, że ich hasła i pliki cookie nie są nigdzie przesyłane.
Ataki są automatyzowane przez złośliwe reklamy
Wydaje się również, że ataki można dostosować do zrzucania haseł lub plików cookie innych usług internetowych, takich jak Amazon, Facebook i innych. Dotyczy to tylko Edge'a, ponieważ „ obejścia UXSS / SOP są zazwyczaj specyficzne dla każdej przeglądarki ”.
Nowoczesne reklamy dostarczają kod JavaScript do przeglądarek i dlatego osoby atakujące mogą ułatwiać kampanie reklamujące, aby zautomatyzować dostarczanie tego exploita do ogromnej liczby ofiar.
Aby uzyskać więcej informacji, przeczytaj opis techniczny problemu Caballero.
Oprogramowanie do generowania haseł: najlepsze narzędzia do tworzenia bezpiecznych haseł
Jeśli chcesz chronić swoje konta internetowe, najlepiej użyć silnego hasła. Silne hasło składa się zarówno z małych, jak i wielkich liter, cyfr i symboli. Utworzenie silnego hasła nie zawsze jest łatwe, ale na szczęście istnieją narzędzia, które mogą Ci w tym pomóc. Najlepszy sposób na stworzenie silnego…
Paypal wydaje krytyczną łatkę, aby uniemożliwić hakerom kradzież znacznych tokenów
OAuth służy jako otwarty standard uwierzytelniania opartego na tokenach, stosowanego przez wielu gigantów internetowych, w tym PayPal. Właśnie dlatego odkrycie krytycznej wady w usłudze płatności online, która mogła pozwolić hakerom na kradzież tokenów OAuth od użytkowników, spowodowało, że PayPal zaczął się starać o wydanie poprawki. Antonio Sanso, badacz bezpieczeństwa…
Luka w programie Outlook umożliwia hakerom kradzież skrótów haseł
Microsoft Outlook to jedna z najpopularniejszych platform e-mail na świecie. Osobiście polegam na moim adresie e-mail programu Outlook do zadań związanych z pracą i osobistymi. Niestety, Outlook może nie być tak bezpieczny, jak my, użytkownicy chcieliby myśleć. Według raportu opublikowanego przez Carnegie Mellon Software Engineering Institute, Outlook…
