パッチが適用されていない2つのゼロデイ脆弱性がMicrosoftEdgeとInternetExplorerに潜んでいます, 概念実証コードも利用できます.
この欠陥は、20歳のセキュリティ研究者であるJamesLeeによって発見されました。, また、悪意のあるWebサイトが、上記のWebブラウザを介してアクセスしたドメインに対してユニバーサルクロスサイトスクリプティング攻撃を実行する可能性があります。.
研究者はマイクロソフトのブラウザに脆弱性を発見しました, Microsoftはそれらにパッチを当てません
InternetExplorerとEdgeの最新バージョンに影響を与える2つの脆弱性, リモートの攻撃者が脆弱なブラウザで同一生成元ポリシーをバイパスする可能性があります.
同一生成元ポリシーとは (SOP)? すぐに言った, SOPは、Webアプリケーションのセキュリティモデルにおける重要な概念です。. このコンセプトのおかげで, Webブラウザーは、最初のWebページに含まれるスクリプトが2番目のWebページのデータにアクセスすることを許可します, ただし、両方のWebページの出所が同じ場合のみ.
2つのブラウザの脆弱性をどのように悪用できますか? 欠陥を悪用するには, 攻撃者は、潜在的な被害者をだまして悪意のあるWebサイトを開かせる必要があります。.
ハッカーニュースとの電子メールでの会話, リー 言った 「問題は、リダイレクト後にクロスオリジンURLを不適切にリークするMicrosoftブラウザのリソースタイミングエントリにあります。」
研究者はマイクロソフトと連絡を取り、10か月前にマイクロソフトに調査結果を報告しました. 不運にも, 同社は欠陥に注意を払わず、今日まで研究者に対応していません。, バグにパッチを適用せず、悪用できるようにしておきます.
そう, リーが概念実証をリリースしたことは誰も驚くことではありません (PoC) 両方の脆弱性のコード. 攻撃者は、実際の攻撃で問題を悪用する方法をすぐに見つける可能性があります。ゼロデイの欠陥は、さまざまな機会への扉を開きます。.
Leeの脆弱性は、昨年Microsoftが同じブラウザで対処した他の2つの問題と類似していることは注目に値します。: インターネットエクスプローラ (CVE-2018-8351) およびEdgeブラウザ (CVE-2018-8545).
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: