Due senza patch vulnerabilità zero-day si annidano in Microsoft Edge e Internet Explorer, e c'è anche proof-of-concept e commenti.
I difetti sono stati scoperti da 20 anni, ricercatore di sicurezza James Lee, e potrebbero consentire a un sito web malintenzionato di eseguire universali attacchi di cross-site scripting contro qualsiasi dominio visitato tramite i browser WEB sopra elencati.
I ricercatori Finds vulnerabilità nei browser di Microsoft, Microsoft non Patch Them
Le due vulnerabilità che interessano le ultime versioni di Internet Explorer e di bordo, potrebbe consentire a un attaccante remoto per bypassare criterio dell'origine sui browser vulnerabili.
Qual è la politica di origine Same (SOP)? Poco detto, SOP è un concetto fondamentale nel modello di sicurezza delle applicazioni web. Grazie a questo concetto, un browser web permette script contenuti in una pagina web prima di accedere ai dati in una seconda pagina web, ma solo se entrambe le pagine web hanno la stessa origine.
Come possono le vulnerabilità nei due browser essere sfruttati? Per sfruttare i difetti, un utente malintenzionato dovrebbe indurre la potenziale vittima ad aprire un sito web malevolo.
In una conversazione tramite e-mail con The Hacker News, sottovento disse che “la questione è all'interno di risorse voci temporizzazione in Microsoft browser che impropriamente fuoriescono URL Cross-Origin dopo reindirizzamento.”
Il ricercatore si mise in contatto con Microsoft e ha riferito le sue scoperte con la compagnia di dieci mesi fa. Sfortunatamente, la società non ha prestato alcuna attenzione ai difetti e non ha risposto al ricercatore a questo giorno, lasciando gli insetti senza patch e aperta a sfruttare.
Così, si tratta di sorpresa di nessuno che Lee ha rilasciato proof-of-concept (pochi) codice per entrambe le vulnerabilità. Gli aggressori saranno probabilmente veloce per trovare il modo di sfruttare i problemi di attacchi effettivi - difetti zero-day aprono la porta a una serie di opportunità.
È interessante notare che le vulnerabilità di Lee sono altri simili a due problemi che sono stati affrontati da Microsoft lo scorso anno nello stesso browser: Internet Explorer (CVE-2018-8351) e browser di bordo (CVE-2018-8545).
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: