Microsoft Edge tīmekļa pārlūks. Lesoir
Netsparker drošības pētnieks Ziyahan Albeniz atklāja ievainojamību Microsoft Edge pārlūkprogrammā, kas ļāva izplatīt ļaunprātīgu programmatūru. Viņš publicēja savus secinājumus par CVE-2018-0871 ( CVSS 3.0 Bāzes rādītājs 4,3) savā ziņojumā ar nosaukumu “ Microsoft Edge ievainojamības izmantošana, lai nozagtu failus . '
Albenizs paskaidroja, ka ievainojamība radās no tās pašas izcelsmes politikas ar trūkumiem saistītas kļūdas. To izmantojot, ievainojamību varētu izmantot, lai izplatītu ļaunprātīgu programmatūru, kas var veikt pikšķerēšanas un informācijas zādzības uzbrukumus. Liels faktors ļaunprātīgas programmatūras izplatībā caur šo kanālu bija paša lietotāja ieguldījums ļaunprātīgā faila lejupielādē. Tāpēc ievainojamība nebija masveidā izmantojama, un tāpēc tā radīja mazāku risku nekā lielākā daļa pārlūkprogrammas drošības kļūdu.
Funkcija Same-Origin Policy ir tīmekļa lietojumprogrammas drošības modelis, ko izmanto praktiski visās interneta pārlūkprogrammās. Tas ļauj vienas tīmekļa lapas skriptiem piekļūt datiem citā, ja vien tīmekļa lapas pieder vienam un tam pašam domēnam, protokolam un portam. Tas novērš starpdomēnu piekļuvi tīmekļa lapām, tas nozīmē, ka ļaunprātīga vietne nevar piekļūt jūsu bankas konta akreditācijas datiem, ja esat pieteicies citā cilnē vai esat aizmirsis atteikties.
Gadījumā, ja SOP drošības mehānisms neizdodas, ir gadījums, kad lietotājs tiek mānīts lejupielādēt ļaunprātīgu HTML failu un palaist to savā datorā. Kad fails ir saglabāts lokāli, tas tiek ielādēts protokolā “file: //”, kurā tam nav iestatīta domēna vai porta numura. Tā kā SOP tīmekļa lapas var piekļūt informācijai tikai par to pašu domēnu / portu / protokolu, jo visi pārējie vietējie faili tiek palaisti arī “file: //” protokolā, lejupielādētais ļaunprātīgais HTML fails var piekļūt jebkuram vietējās sistēmas failam un nozagt datus no tā.
Šo Microsoft Edge SOP ievainojamību var izmantot mērķtiecīgu un precīzu uzbrukumu veikšanai. Kad iecerētais lietotājs tiek maldināts faila lejupielādē un palaišanā, hakeris var izlūkot informāciju savā datorā un nozagt precīzu meklēto informāciju, ja vien viņš zina, kur meklēt. Tā kā šis uzbrukums nav automatizēts, lietotāja un lietotāja gala sistēmas pazīšana palīdz efektīvi veikt uzbrukumu.
Zihayan Albeniz ierakstīja īsu video, kurā demonstrēja šo uzbrukumu. Viņš paskaidroja, ka spēja izmantot šo Edge, Mail un Calendar kalendāra ievainojamību, lai nozagtu datus no datora un attālināti tos ielādētu citā ierīcē.
Korporācija Microsoft ir nākusi klajā ar sava Edge pārlūka atjauninājumu, kas novērš šo ievainojamību. Atjauninājums ir pieejams visām attiecīgajām Microsoft Edge Windows 10 versijām publicētajā konsultatīvs biļetens. Neskatoties uz to, ka ir izlaists atjauninājums, novēršot šo SOP ievainojamību, Albeniz joprojām brīdina, ka lietotājiem jābūt piesardzīgiem attiecībā uz HTML failiem, ko viņi saņem no nezināmiem avotiem. HTML nav parastais failu tips, ko izmanto ļaunprātīgas programmatūras izplatīšanai, tāpēc tas bieži paliek nenojaušams un rada zaudējumus.
![[FIX] Netflix kļūdas kods F7053 1803 Mozilla Firefox](https://jf-balio.pt/img/how-tos/66/netflix-error-code-f7053-1803-mozilla-firefox.png)
