Deux vulnérabilités zero-day dans Microsoft unpatched se cachent Edge et Internet Explorer, et il y a même une preuve de concept disponible Code.
Les défauts ont été découverts par 20 ans chercheur en sécurité James Lee, et ils pourraient permettre à un site Web malveillant d'effectuer des attaques universelles de script inter-site contre tout domaine visité par les navigateurs Web mentionnés ci-dessus.
Les chercheurs Finds vulnérabilités dans les navigateurs Microsoft, Microsoft ne les Patch
Les deux vulnérabilités qui affectent les dernières versions d'Internet Explorer et Edge, pourrait permettre à un attaquant distant de contourner la politique de même origine sur les navigateurs vulnérables.
Quelle est la politique même d'origine (SOP)? Peu dit, SOP est un concept crucial dans le modèle de sécurité d'applications Web. Merci à ce concept, un navigateur Web permet des scripts contenus dans une première page Web pour accéder à des données dans une seconde page Web, mais seulement si les deux pages Web ont la même origine.
Comment les vulnérabilités dans les deux navigateurs sont exploités? Pour exploiter les failles, un attaquant aurait à tromper la victime potentielle dans l'ouverture d'un site Web malveillant.
Dans une conversation par e-mail avec The Hacker Nouvelles, Lee dit que « la question est dans Timing ressources entrées dans Microsoft navigateurs qui fuient de façon inappropriée URL croisée Origine après redirection. »
Le chercheur a pris contact avec Microsoft et a rapporté ses résultats avec l'entreprise il y a dix mois. Malheureusement, la société n'a pas prêté attention aux défauts et n'a pas répondu au chercheur à ce jour, laissant les bogues non corrigé et ouvert à exploiter.
Si, il vient à la surprise de personne que Lee a publié une preuve de concept (peu) code pour les deux vulnérabilités. Les attaquants seront probablement prompts à trouver des moyens d'exploiter les problèmes dans les attaques réelles - défauts zéro jour ouvrent la porte à un éventail de possibilités.
Il est à noter que les vulnérabilités de Lee sont semblables à deux autres questions qui ont été traitées par Microsoft l'an dernier dans les mêmes navigateurs: Internet Explorer (CVE-2018-8351) et navigateurs Edge (CVE-2018-8545).
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: