Dos vulnerabilidades sin parches de día cero se esconden en Microsoft Internet Explorer y Edge, y hay incluso una prueba de concepto de código disponibles.
Las fallas fueron descubiertas por 20 años de edad, el investigador de seguridad James Lee, y que podría permitir a un sitio web malicioso para realizar ataques de cross-site scripting universales contra cualquier dominio visitado a través de los navegadores web antes mencionados.
Los investigadores vulnerabilidades descubiertas en los navegadores de Microsoft, Microsoft no parchearlas
Las dos vulnerabilidades que afectan a las últimas versiones de Internet Explorer y Edge, podría permitir a un atacante remoto para saltarse política del mismo origen en los navegadores vulnerables.
¿Qué es la política de mismo origen (SOP)? Poco dicho, SOP es un concepto fundamental en el modelo de seguridad de aplicaciones web. Gracias a este concepto, un navegador web permite a los scripts contenidos en una primera página web para acceder a los datos en una segunda página Web, pero sólo si ambas páginas web tienen el mismo origen.
¿Cómo se pueden aprovechar las vulnerabilidades en los dos navegadores? Para explotar los defectos, el atacante tendría que engañar a la víctima potencial en la apertura de un sitio web malicioso.
En una conversación por correo electrónico con The Hacker News, Sotavento dijo que “el problema está dentro de las entradas de sincronización de recursos en Microsoft navegadores, que se filtran de manera inapropiada URL de origen cruzado después de redirección.”
El investigador se puso en contacto con Microsoft e informó de sus hallazgos con la compañía hace diez meses. Desafortunadamente, la empresa no presta ninguna atención a los defectos y no ha respondido a la investigadora para el día de hoy, dejando a los insectos sin parchear y abierto para explotar.
Así, se trata de nadie sorpresa que Lee lanzó una prueba de concepto (pocos) código para ambas vulnerabilidades. Los atacantes probablemente será rápida para encontrar maneras de explotar los temas en los ataques reales - defectos de día cero abren la puerta a una amplia gama de oportunidades.
Es de destacar que las vulnerabilidades de Lee son similares a otros dos temas que fueron abordados por Microsoft el año pasado en las mismas navegadores: Internet Explorer (CVE-2018-8351) Edge y navegadores (CVE-2018-8545).