Ang browser ng Microsoft Edge ay tila may isang matinding kahinaan ng password. Inihayag ng mga kamakailang ulat na ang mga umaatake o hacker ay madaling makakuha ng mga file ng password at cookie para sa mga online account, isang kahinaan na natagpuan ng dalubhasa sa seguridad na si Manuel Caballero, isang taong may malawak na karanasan ng mga unearthing Edge at mga Internet Explorer na mga bug at flaw.

Ang mga atake ay maaaring iwasan ang proteksyon ng SOP ni Edge

Ang kahinaan ay nagbibigay-daan sa isang pag-load ng pag-atake at isagawa ang malisyosong code gamit ang data ng mga URI, Meta refresh tag, at mga walang pahina na pahina tulad ng tungkol sa: blangko. Ang diskarteng ito ng pagsasamantala ay maraming mga pagkakaiba-iba at ipinakita ni Caballero ang mga paraan kung saan maaaring isakatuparan ng isang hacker ang code sa mga site na may mataas na profile sa pamamagitan lamang ng pag-trick sa mga gumagamit upang ma-access ang isang nakakahamak na URL.

Nagpakita si Caballero ng tatlong mga demo kung saan naisakatuparan ang code sa Bing homepage, nag-tweet sa pangalan ng ibang gumagamit, at nagnakaw ng mga file ng password at cookie mula sa isang account sa Twitter.

Ang huling pag-atake ay muling nakalantad ng isang error sa seguridad sa disenyo ng mga modernong browser: ang kakayahan ng hacker na mag-logout ng isang gumagamit, mag-load ng isang pahina ng pag-login, at magnanakaw ng mga kredensyal ng gumagamit na awtomatikong napuno ng tampok na autofill ng browser ng browser.

Ang kahinaan ay hindi pa rin ipinadala. Sa kadahilanang ito, nagbigay ng mga demo ang Caballero upang mag-download upang masuri ng mga gumagamit ang source code at tiyakin na ang kanilang mga password at cookies ay hindi nai-upload kahit saan.

Ang mga pag-atake ay awtomatiko sa pamamagitan ng malvertising

Mukhang ang mga pag-atake ay maaaring ipasadya upang ihulog ang mga password o cookies ng mas maraming mga online na serbisyo tulad ng Amazon, Facebook, at marami pa. Tanging ang Edge ang apektado dahil ang " UXSS / SOP bypasses ay may posibilidad na maging partikular sa bawat browser."

Ang mga modernong ad ay naghahatid ng JavaScript code sa mga browser at ito ang dahilan kung bakit mapabilis ng mga umaatake ang mga malignising na kampanya upang awtomatiko ang paghahatid ng pagsasamantala sa isang malaking halaga ng mga biktima.

Para sa karagdagang impormasyon, maaari mong basahin ang teknikal na paglalarawan ng Caballero tungkol sa isyu.