To Zero-Day Fejl og mangler i Edge og Internet Explorer Remain Unpatched
CYBER NEWS

To Zero-Day Fejl og mangler i Edge og Internet Explorer Remain Unpatched

To unpatched zero-day sårbarheder lurer i Microsoft Edge og Internet Explorer, og der er endda proof-of-concept-kode til rådighed.

Fejlene blev opdaget af 20-årige sikkerhed forsker James Lee, og de kunne give en ondsindet hjemmeside til at udføre universelle angreb cross-site scripting mod ethvert domæne besøgt via de ovennævnte webbrowsere.




Forskere Finder Sårbarheder i Microsofts Browsere, Microsoft har ikke Patch Them

De to sårbarheder, som påvirker de nyeste versioner af Internet Explorer og Edge, kan gøre det muligt for en ekstern hacker at omgå samme oprindelse politik på sårbare browsere.

Hvad er samme oprindelse Politik (SOP)? Kort sagt, SOP er et afgørende begreb i web-applikation sikkerhedsmodel. Takket være dette koncept, en webbrowser tillader scripts, der er indeholdt i en første webside for at få adgang til data i en anden webside, men kun hvis begge websider har samme oprindelse.

Hvordan kan de svage punkter i de to browsere udnyttes? At udnytte fejlene, en angriber ville have at narre det potentielle offer til at åbne et ondsindet websted.

I en samtale via e-mail med The Hacker News, Lee sagde at ”problemet er inden Ressource Timing Poster i Microsoft Browsere som uhensigtsmæssigt lække Cross-Origin URL'er efter omdirigering.”

Relaterede: CVE-2018-8383: Microsoft Edge og Safari Exploited via Address Bar spoofing Sårbarhed.

Forskeren kom i kontakt med Microsoft og rapporteres sine resultater med selskabet ti måneder siden. Desværre, selskabet ikke betale nogen opmærksomhed på fejlene og har ikke reageret på forskeren den dag i dag, forlader bugs unpatched og åben for at udnytte.

Så, det kommer til ingens overraskelse, at Lee frigivet proof-of-concept (par) kode for begge sårbarheder. Angribere vil sandsynligvis være hurtige til at finde måder at udnytte de spørgsmål i faktiske angreb - zero-day fejl åbner døren til en række muligheder.

Det er bemærkelsesværdigt, at Lees sårbarheder ligner to andre spørgsmål, der blev udsendt af Microsoft sidste år i de samme browsere: Internet Explorer (CVE-2018-8351) og Edge browsere (CVE-2018-8545).

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...