Zwei ungepatchte Zero-Day-Schwachstellen lauern in Microsoft Edge und Internet Explorer, und es gibt sogar Proof-of-Concept-Code verfügbar.
Die Mängel wurden durch 20-jährige Sicherheitsforscher James Lee entdeckt, und sie konnten eine bösartige Website ermöglichen den universellen Cross-Site-Scripting-Attacken gegen jede Domäne auszuführen über die oben genannten Web-Browser besucht.
Forscher finden Sicherheitslücken in Microsofts Browser, Microsoft Hat sie nicht wieder patchen
Die beiden Schwachstellen, die die neuesten Versionen von Internet Explorer und Edge-beeinflussen, ein entfernter Angreifer Same Origin Policy auf anfälligen Browser ermöglichen könnte zu umgehen.
Was ist Same Origin Policy (SOP)? Kurz gesagt, SOP ist ein wichtiges Konzept im Sicherheitsmodell Web-Anwendung. Mit diesem Konzept, ein Web-Browser ermöglicht Skripts in einer ersten Web-Seite enthaltenen Daten in einer zweiten Webseite zuzugreifen, aber nur, wenn beide Seiten den gleichen Ursprung haben.
Wie können die Schwachstellen in den beiden Browsern ausgenutzt werden? Zur Nutzung der Mängel, Ein Angreifer müßte das potentielle Opfer dazu verleiten, eine manipulierte Webseite zu öffnen.
In einem Gespräch über E-Mail mit dem Hacker News, Lee sagte dass „das Problem ist, innerhalb Ressourcen Timing-Einträge in Microsoft-Browsern, die unangemessen Cross-Origin URLs nach Umleitung auslaufen.“
Der Forscher nahm Kontakt mit Microsoft und berichtet seine Ergebnisse mit dem Unternehmen vor zehn Monaten. Leider, das Unternehmen nicht zahlen keine Aufmerksamkeit auf die Mängel und wurde dem Forscher bis heute nicht geantwortet, die Fehler nicht gepatchte und offen gelassen zu nutzen.
So, es kommt zu niemandes Überraschung ein, dass Lee Proof-of-Concept veröffentlicht (wenig) Code für beide Schwachstellen. Der Angreifer wird wahrscheinlich schnell sein, Wege zu finden, um die Probleme bei der tatsächlichen Angriffen zu nutzen - Zero-Day-Schwachstellen öffnen die Tür zu einer Reihe von Möglichkeiten.
Es ist bemerkenswert, dass Lee Verwundbarkeiten sind ähnlich wie zwei andere Probleme, die von Microsoft im vergangenen Jahr in dem gleichen Browser angesprochen wurden: Internet Explorer (CVE-2018-8351) und Edge-Browser (CVE-2018-8545).