Vora de Microsoft vulnerable al robatori de galetes i contrasenyes
Taula de continguts:
- Els atacants poden deixar de banda la protecció SOP de Edge
- Els atacs són automatitzats mitjançant publicitat comercial
Vídeo: Новый БРАУЗЕР от Microsoft набирает обороты! Microsoft EDGE лучший? 2024
El navegador Microsoft Edge sembla tenir una vulnerabilitat de contrasenya severa. Els informes recents revelen que els atacants o els pirates informàtics podrien obtenir fàcilment la contrasenya de l’usuari i els fitxers de galetes per als comptes en línia, una vulnerabilitat que va descobrir l’expert en seguretat Manuel Caballero, algú amb una àmplia experiència de descobrir els errors i defectes d’Edge i Internet Explorer.
Els atacants poden deixar de banda la protecció SOP de Edge
La vulnerabilitat permet a un atacant carregar i executar codi maliciós mitjançant URI de dades, etiqueta d’actualització de meta i pàgines sense domini com ara: blank. Aquesta tècnica d’explotació té moltes variacions i Caballero va mostrar les maneres en què un pirata informàtic podria executar codi en llocs d’alt perfil només fent trucs als usuaris per accedir a una URL malintencionada.
Caballero va mostrar tres demostracions en què va executar codi a la pàgina principal de Bing, va tuitejar en nom d’un altre usuari i va robar la contrasenya i els fitxers de galetes d’un compte de Twitter.
L’últim atac va tornar a exposar un error de seguretat en el disseny dels navegadors moderns: la capacitat del pirata pirata d’iniciar sessió d’un usuari, carregar una pàgina d’inici de sessió i robar les credencials de l’usuari completades automàticament per la funció d’ emplenament automàtica de la contrasenya del navegador.
La vulnerabilitat encara no està disponible. Per aquest motiu, Caballero va proporcionar demostracions per a la descàrrega perquè els usuaris puguin inspeccionar el codi font i assegurar-se que les seves contrasenyes i galetes no es carreguen enlloc.
Els atacs són automatitzats mitjançant publicitat comercial
Sembla també que es poden personalitzar els atacs per descarregar les contrasenyes o les cookies de més serveis en línia com ara Amazon, Facebook i molt més. Només Edge està afectat perquè "els bypass UXSS / SOP solen ser particulars a cada navegador."
Els anuncis moderns envien codi JavaScript als navegadors i és per això que els atacants poden facilitar campanyes de publicitat comercial per automatitzar el lliurament d’aquest exploit a una gran quantitat de víctimes.
Per obtenir més informació, podeu llegir la descripció tècnica del problema de Caballero.
Programari generador de contrasenyes: les millors eines per crear contrasenyes segures
Si voleu protegir els vostres comptes en línia, el millor és utilitzar una contrasenya contundent. Una contrasenya forta consisteix en lletres, minúscules i minúscules, números i símbols. Crear una contrasenya contundent no sempre és fàcil, però afortunadament per a vosaltres, hi ha eines que us poden ajudar. La millor manera de crear un fort ...
El gestor de contrasenyes de Icecream és una eina completa de gestió de contrasenyes per als usuaris de pc
Una cosa que he après de la meva vida és anotar coses que considero importants. Fins als darrers dos anys vaig utilitzar un diari diari, però més tard vaig trobar que un mitjà digital no només és convenient sinó que també és perfecte. Després va venir la barreja d’Evernote i Google ...
L’error del gestor de contrasenyes de Windows 10 permet als pirates informàtics robar contrasenyes
Tavis Ormandy, un investigador de seguretat de Google, havia descobert recentment una vulnerabilitat que s’amaga al gestor de contrasenyes de Windows 10. Aquest error permet als atacants cibernètics robar contrasenyes. Aquest defecte arriba amb l’aplicació de gestor de contrasenyes d’un tercer Keeper que s’instal·la prèviament a tots els dispositius Windows 10. Sembla que aquest defecte és molt similar al ...