Due Difetti Zero-Day in Edge e Internet Explorer rimangono senza patch
CYBER NEWS

Due Difetti Zero-Day in Edge e Internet Explorer rimangono senza patch

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

Due senza patch vulnerabilità zero-day si annidano in Microsoft Edge e Internet Explorer, e c'è anche proof-of-concept e commenti.

I difetti sono stati scoperti da 20 anni, ricercatore di sicurezza James Lee, e potrebbero consentire a un sito web malintenzionato di eseguire universali attacchi di cross-site scripting contro qualsiasi dominio visitato tramite i browser WEB sopra elencati.




I ricercatori Finds vulnerabilità nei browser di Microsoft, Microsoft non Patch Them

Le due vulnerabilità che interessano le ultime versioni di Internet Explorer e di bordo, potrebbe consentire a un attaccante remoto per bypassare criterio dell'origine sui browser vulnerabili.

Qual è la politica di origine Same (SOP)? Poco detto, SOP è un concetto fondamentale nel modello di sicurezza delle applicazioni web. Grazie a questo concetto, un browser web permette script contenuti in una pagina web prima di accedere ai dati in una seconda pagina web, ma solo se entrambe le pagine web hanno la stessa origine.

Come possono le vulnerabilità nei due browser essere sfruttati? Per sfruttare i difetti, un utente malintenzionato dovrebbe indurre la potenziale vittima ad aprire un sito web malevolo.

In una conversazione tramite e-mail con The Hacker News, sottovento disse che “la questione è all'interno di risorse voci temporizzazione in Microsoft browser che impropriamente fuoriescono URL Cross-Origin dopo reindirizzamento.”

Correlata: CVE-2018-8383: Microsoft Edge e Safari sfruttate tramite Indirizzo allo spoofing della barra vulnerabilità.

Il ricercatore si mise in contatto con Microsoft e ha riferito le sue scoperte con la compagnia di dieci mesi fa. Sfortunatamente, la società non ha prestato alcuna attenzione ai difetti e non ha risposto al ricercatore a questo giorno, lasciando gli insetti senza patch e aperta a sfruttare.

Così, si tratta di sorpresa di nessuno che Lee ha rilasciato proof-of-concept (pochi) codice per entrambe le vulnerabilità. Gli aggressori saranno probabilmente veloce per trovare il modo di sfruttare i problemi di attacchi effettivi - difetti zero-day aprono la porta a una serie di opportunità.

È interessante notare che le vulnerabilità di Lee sono altri simili a due problemi che sono stati affrontati da Microsoft lo scorso anno nello stesso browser: Internet Explorer (CVE-2018-8351) e browser di bordo (CVE-2018-8545).

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...