Duas vulnerabilidades zero-day não corrigidas se escondem no Microsoft Edge e Internet Explorer, e não há sequer uma prova de conceito de código disponível.
As falhas foram descobertas pelo pesquisador de segurança 20-year-old James Lee, e podem permitir que um site malicioso execute ataques de script cruzado universal contra qualquer domínio visitado por meio dos navegadores mencionados acima.
Pesquisadores encontram vulnerabilidades em navegadores da Microsoft, A Microsoft não os corrige
As duas vulnerabilidades que afetam as versões mais recentes do Internet Explorer e do Edge, pode permitir que um invasor remoto ignore a política de mesma origem em navegadores vulneráveis.
O que é a política da mesma origem (SOP)? disse brevemente, SOP é um conceito crucial no modelo de segurança de aplicativos da web. Graças a este conceito, um navegador da web permite que scripts contidos em uma primeira página da web acessem dados em uma segunda página da web, mas apenas se ambas as páginas da web tiverem a mesma origem.
Como as vulnerabilidades nos dois navegadores podem ser exploradas? Para explorar as falhas, um invasor teria que enganar a vítima potencial para abrir um site malicioso.
Em uma conversa por e-mail com The Hacker News, Lee disse que “o problema está nas entradas de tempo de recursos nos navegadores da Microsoft, que vazam URLs de origem cruzada de forma inadequada após o redirecionamento”.
O pesquisador entrou em contato com a Microsoft e relatou suas descobertas à empresa há dez meses. Infelizmente, a empresa não deu atenção às falhas e não respondeu ao pesquisador até hoje, deixando os bugs sem correção e abertos para exploração.
assim, não é surpresa para ninguém que Lee tenha lançado uma prova de conceito (PoCs) código para ambas as vulnerabilidades. Os invasores provavelmente encontrarão maneiras de explorar os problemas em ataques reais - falhas de dia zero abrem a porta para uma série de oportunidades.
É digno de nota que as vulnerabilidades de Lee são semelhantes a dois outros problemas que foram resolvidos pela Microsoft no ano passado nos mesmos navegadores: Internet Explorer (CVE-2018-8351) e navegadores Edge (CVE-2018-8545).
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: