Чини се да прегледач Мицрософт Едге има озбиљну рањивост лозинке. Недавни извештаји откривају да би нападачи или хакери лако могли да добију корисничку лозинку и датотеке колачића за интернетске налоге, рањивост коју је открио стручњак за безбедност Мануел Цабаллеро, неко ко има велико искуство у откривању грешака и недостатака Едге-а и Интернет Екплорера.

Нападачи могу заобићи Едгеову СОП заштиту

Рањивост омогућава нападачу да се учита и изврши злонамерни код користећи УРИ података, ознаку Мета рефресх и странице без домена као што су абоут: бланк. Ова техника експлоатације има много варијација и Цабаллеро је показао начине на који је хакер могао извршавати код на веб локацијама само тако што је малтретирао кориснике да приступе злонамерној УРЛ адреси.

Цабаллеро је показао три демо записа у којима је извршавао код на почетној страници Бинга, твитовао у име другог корисника и украо датотеке лозинке и колачића са Твиттер налога.

Посљедњи напад поново је изложио сигурносну грешку у дизајну модерних прегледача: хакерска способност да се одјави корисник, учита страницу за пријаву и украде корисничке вјеродајнице које аутоматски попуњава функција за аутоматско попуњавање лозинке прегледача.

Рањивост је и даље неизбрисива. Из тог разлога, Цабаллеро је пружио демо датотеке за преузимање како би корисници могли да прегледају изворни код и осигурају да се њихове лозинке и колачићи нигде не преносе.

Напади су аутоматизирани малвертирањем

Такође се чини да се напади могу прилагодити тако да се испуштају лозинке или колачићи више интернетских сервиса као што су Амазон, Фацебоок и још много тога. Само је Едге погођен јер " УКССС / СОП заобилазнице имају тенденцију да буду специфичне за сваки прегледач."

Савремени огласи испоручују ЈаваСцрипт код прегледачима и зато нападачи могу олакшати кампање за малверзацију како би аутоматизовали испоруку овог експлоата огромној количини жртава.

За више информација можете прочитати Цабаллеров технички опис проблема.