Accueil > Nouvelles Cyber > CVE-2018-8235: Fonction de sécurité Bug Bypass Edge, Patch maintenant!
CYBER NOUVELLES

CVE-2018-8235: Fonction de sécurité Bug Bypass Edge, Patch maintenant!

Un chercheur en sécurité indépendant a découvert par hasard tout à fait insolite, haute gravité de la vulnérabilité du navigateur Edge Microsoft, identifié comme CVE-2018-8235. Peu de temps mis, la vulnérabilité permettrait à un site Web malveillant pour reprendre le contenu d'autres sites simplement en lecture de fichiers audio de manière incorrecte qui produirait des conséquences inattendues.

Selon Jake Archibald, le chercheur qui déterré le défaut, le bug est énorme et «cela signifie que vous pouvez visiter mon site Edge, et je pouvais lire vos e-mails, Je pouvais lire votre flux Facebook, tout cela sans que vous le sachiez". Le chercheur surnommé le bug Wavethrough.

CVE-2018-8235 MITRE officiel Description de

Une caractéristique de sécurité la vulnérabilité de by-pass existe lorsque Microsoft Edge gère incorrectement les demandes de différentes origines, alias “Microsoft Edge fonction de sécurité vulnérabilité de contournement.”

CVE-2018-8235: Bug Wavethrough Explained

Quand le bug se « irrité »? Quand un site Web malveillant emploie les travailleurs des services dits de charger du contenu multimédia dans une balise audio à partir d'un site distant, dans l'intervalle, en utilisant le paramètre « plage » pour charger une partie spécifique du même fichier.

Le chercheur a ajouté que:

Je faisais semblant d'être un hacker et ai écrit toutes les attaques que je pouvais penser, et Anne van Kesteren a souligné que certains d'entre eux étaient possibles sans un travailleur de service, comme vous pouvez faire des choses similaires avec réoriente.

En outre, en raison de différences dans les navigateurs gèrent les fichiers chargés ainsi avec l'aide des travailleurs de services dans les balises audio, il est possible de charger un contenu à l'intérieur du site malveillant. Habituellement, cela ne se produirait pas comme CORS (Cross-Origin Resource Sharing) obtient dans l'image pour éviter les sites de chargement des ressources provenant d'autres sites.

histoire connexes: Microsoft ne parvient pas à Correction d'un bug Edge sur le temps - Google rend publique Il

Cependant, dans ce cas bizarres, le site malveillant peut émettre des requêtes « non-CORS » qui ne serait pas détecté comme inhabituel par le site de réception, que ce soit Facebook ou Gmail ou d'une sortie de nouvelles. Par conséquent, le site malveillant peut charger autrement « pas à être chargé » contenu caché des procédures d'authentification.

Firefox touchés en partie par CVE-2018-8235

L'autre navigateur qui semble être affecté par ce bug est Firefox. Chrome et Safari semblent intacts. Plus précisement, que Firefox versions nuit en développement ont été touchés, mais heureusement, le bug a été corrigé depuis et il n'a pas à Firefox officielle Dernière version.

Microsoft a également abordé le bogue dans son Juin 2018 Patch Tuesday.

Quant à Chrome, le chercheur estime que Google patché la vulnérabilité sans intention lors de l'application d'autres patches 2015 par rapport à un autre bug.




Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord