Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息
据外媒 11 日报道,布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略( SOP )漏洞,允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。(百度百科)
研究发现,攻击者除了冒充请求发送方进行 referrer 欺骗以外,还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外,由于 Edge 密码管理器具有自动填充功能 ,可以呈现一个通用代码片段,一旦用户使用默认密码管理器,黑客将能够快速窃取用户信息。
简而言之,只要密码输入框是从正确的源加载,Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。
安全专家提醒用户,SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。
原作者:Richard Chirgwin, 译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“Microsoft Edge 浏览器漏洞:允许黑客绕过 SOP 窃取用户私人信息” 的相关文章
Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...
FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
Google 安全人员:“ NSO 的漏洞是我们见过的最复杂的漏洞之一”
Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究,并揭示了该公司攻击的复杂性。Google Project Zero(零点项目)指出,ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外,它还说明了NSO集团...
BlackTech 组织与他们使用的恶意软件 Gh0stTimes
BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被Bl...
CISA 向美国企业与机构发布勒索软件防御和响应指南
在过去几个月里,美国企业遭受了一系列破坏性的的勒索软件攻击,有鉴于此,国土安全部的网络安全和基础设施安全局(CISA)发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外,该文件建议公司如果成为勒索软件攻击的目标,不要支付赎金...
评论列表
发表评论
