微慑信息网

Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息

据外媒 11 日报道,布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略( SOP )漏洞,允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。(百度百科)

研究发现,攻击者除了冒充请求发送方进行 referrer 欺骗以外,还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外,由于 Edge 密码管理器具有自动填充功能 ,可以呈现一个通用代码片段,一旦用户使用默认密码管理器,黑客将能够快速窃取用户信息。

2017051220

简而言之,只要密码输入框是从正确的源加载,Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。

安全专家提醒用户,SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。

原作者:Richard Chirgwin, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册