Twee ongepatchte zero-day kwetsbaarheden op de loer liggen in Microsoft Edge en Internet Explorer, en er is zelfs proof-of-concept code beschikbaar.
De fouten werden ontdekt door de 20-jarige security-onderzoeker James Lee, en ze kan een kwaadwillende website universele cross-site scripting aanvallen uit te voeren tegen alle bezochte domein via de hierboven genoemde web browsers.
Onderzoekers Vindt beveiligingslekken in Microsoft's Browsers, Microsoft biedt geen Patch Them
De twee kwetsbaarheden die de nieuwste versies van Internet Explorer en Edge invloed, kan een aanvaller op afstand bypass beleid voor dezelfde oorsprong op kwetsbare browsers toestaan.
Wat is het beleid voor dezelfde oorsprong (SOP)? Kort gezegd, SOP is een cruciaal begrip in het web application security model. Dankzij dit concept, een webbrowser maakt scripts in een eerste webpagina om toegang tot de gegevens in een tweede webpagina, maar alleen als beide webpagina's hebben dezelfde oorsprong.
Hoe kan de zwakke plekken in de twee browsers worden benut? Om de gebreken te benutten, Een aanvaller moet het potentieel slachtoffer te verleiden tot het openen van een kwaadaardige website.
In een gesprek over e-mail met The Hacker News, luwte zei dat “het probleem is binnen Resource Timing De items in Microsoft Browsers die ten onrechte lekken Cross-Origin URL's na omleiding.”
De onderzoeker kwam in contact met Microsoft en rapporteerde zijn bevindingen met het bedrijf tien maanden geleden. Helaas, het bedrijf heeft geen aandacht besteden aan de gebreken en heeft niet gereageerd op de onderzoeker tot op de dag, het verlaten van de bugs ongepatchte open te exploiteren.
Dus, het gaat om het niemand verbazen dat Lee vrijgegeven proof-of-concept (weinig) code voor beide beveiligingslekken. Aanvallers zal waarschijnlijk snel zoeken naar manieren om de problemen in de werkelijke aanslagen te exploiteren vinden - zero-day fouten de deur openen naar een scala aan mogelijkheden.
Het is opmerkelijk dat Lee's kwetsbaarheden zijn vergelijkbaar met twee andere kwesties die vorig jaar in dezelfde browsers werden aangepakt door Microsoft: Internet Explorer (CVE-2018-8351) en Edge browsers (CVE-2018-8545).