Duas vulnerabilidades encontradas no Microsoft Edge e IE

Um pesquisador de segurança divulgou publicamente detalhes e explorações de prova de conceito para duas vulnerabilidades de ‘dia zero’ não corrigidas nos navegadores da Microsoft depois que a empresa supostamente não respondeu à sua revelação privada responsável.

Ambas as vulnerabilidades não corrigidas – uma das quais afeta a versão mais recente do Microsoft Internet Explorer e outra afeta o navegador de borda mais recente – permitem que um invasor remoto ignore a política de mesma origem no navegador da Web da vítima.

A mesma política de origem (SOP) é ​​um recurso de segurança implementado em navegadores modernos que restringe uma página da Web ou um script carregado de uma origem para interagir com um recurso de outra origem, impedindo que sites não relacionados interfiram entre si.

Em outras palavras, se você visitar um site em seu navegador, ele só poderá solicitar dados da mesma origem [domínio] do qual o site foi carregado, impedindo-o de fazer qualquer solicitação não autorizada em seu nome para roubar seus dados. outros sites.

No entanto, as vulnerabilidades descobertas pelo pesquisador de segurança de 20 anos James Lee , que compartilhou os detalhes com o The Hacker News, podem permitir que um site malicioso realize ataques UXSS (universal cross-site scripting) contra qualquer domínio visitado usando o vulnerável site da Microsoft. navegadores.

Para explorar com sucesso essas vulnerabilidades, tudo o que os invasores precisam fazer é convencer a vítima a abrir o site mal-intencionado [criado pelo hacker], permitindo que eles roubem dados confidenciais da vítima, como sessão de login e cookies, de outros sites visitados no mesmo navegador.

“O problema está nas Entradas de Tempo de Recursos nos Navegadores da Microsoft que vazam de forma inadequada URLs de Origem Cruzada após o redirecionamento”, disse Lee ao The Hacker News em um e-mail.

O pesquisador contatou a Microsoft e compartilhou responsavelmente sua descoberta com a empresa há dez meses, que é quase um ano, mas a gigante de tecnologia ignorou os problemas e não respondeu à divulgação até a data, deixando as falhas sem correção.

Lee lançou agora exploits de prova de conceito (PoCs) para ambos os problemas.

O Hacker News testou e confirmou de maneira independente as vulnerabilidades de dia zero contra a versão mais recente do Internet Explorer e Edge em execução em um sistema operacional Windows 10 totalmente corrigido.

As vulnerabilidades recém-divulgadas são semelhantes às que a Microsoft corrigiu no ano passado em seus navegadores Internet Explorer (CVE-2018-8351) e Edge (CVE-2018-8545).

Como os detalhes e o PoC para ambos os dias-zero já foram disponibilizados publicamente, os hackers não gastam muito tempo para explorar as falhas na tentativa de segmentar usuários da Microsoft.

O que é decepcionante é que atualmente não há muito que os usuários possam fazer para evitar esse problema até que a Microsoft corrija os problemas de segurança. Você pode usar outros navegadores que não são afetados por essa vulnerabilidade, como o Chrome ou o Firefox.

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !