ดูเหมือนว่าเบราว์เซอร์ Microsoft Edge มีช่องโหว่รหัสผ่านที่รุนแรง รายงานล่าสุดเผยว่าผู้โจมตีหรือแฮ็กเกอร์สามารถรับรหัสผ่านผู้ใช้และไฟล์คุกกี้สำหรับบัญชีออนไลน์ได้อย่างง่ายดายช่องโหว่ที่ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัย Manuel Caballero ผู้ที่มีประสบการณ์มากมายเกี่ยวกับข้อบกพร่องและข้อบกพร่องของ Internet Explorer และ Internet Explorer

ผู้โจมตีสามารถข้ามการป้องกัน SOP ของ Edge ได้

ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีโหลดและรันโค้ดที่เป็นอันตรายโดยใช้ข้อมูล URI, แท็กการรีเฟรช Meta และหน้าเว็บที่ไม่เกี่ยวข้องเช่น about: blank เทคนิคการเอารัดเอาเปรียบนี้มีหลายรูปแบบและ Caballero แสดงวิธีที่แฮ็กเกอร์สามารถรันโค้ดบนเว็บไซต์ที่มีโปรไฟล์สูงเพียงแค่หลอกให้ผู้ใช้เข้าถึง URL ที่เป็นอันตราย

Caballero แสดงการสาธิตสามครั้งที่เขาเรียกใช้โค้ดในหน้าแรกของ Bing แล้วทวีตในชื่อของผู้ใช้รายอื่นและขโมยรหัสผ่านและไฟล์คุกกี้จากบัญชี Twitter

การโจมตีครั้งล่าสุดได้รับข้อผิดพลาดด้านความปลอดภัยอีกครั้งในการออกแบบเบราว์เซอร์สมัยใหม่: ความสามารถของแฮกเกอร์ในการออกจากระบบของผู้ใช้โหลดหน้าเข้าสู่ระบบและขโมยข้อมูลประจำตัวของผู้ใช้โดยอัตโนมัติด้วยคุณสมบัติ ป้อนรหัสผ่านอัตโนมัติ ของเบราว์เซอร์

ช่องโหว่ดังกล่าวยังไม่ได้รับการแก้ไข ด้วยเหตุผลนี้ Caballero จึงให้การสาธิตเพื่อดาวน์โหลดเพื่อให้ผู้ใช้สามารถตรวจสอบซอร์สโค้ดและตรวจสอบให้แน่ใจว่าไม่ได้อัปโหลดรหัสผ่านและคุกกี้ของพวกเขาที่ใดก็ได้

การโจมตีเป็นไปโดยอัตโนมัติโดย malvertising

นอกจากนี้ยังดูเหมือนว่าการโจมตีนั้นสามารถปรับแต่งเพื่อถ่ายโอนรหัสผ่านหรือคุกกี้ของบริการออนไลน์อื่น ๆ เช่น Amazon, Facebook และอีกมากมาย Edge เท่านั้นที่ได้รับผลกระทบเนื่องจาก“ การ ข้าม UXSS / SOP มีแนวโน้มที่จะเฉพาะเจาะจงสำหรับแต่ละเบราว์เซอร์ ”

โฆษณาสมัยใหม่ส่งโค้ด JavaScript ไปยังเบราว์เซอร์และนี่คือสาเหตุที่ผู้โจมตีสามารถอำนวยความสะดวกในการโฆษณา mal Mal เพื่อทำการส่งมอบช่องโหว่นี้โดยอัตโนมัติไปยังเหยื่อจำนวนมาก

สำหรับข้อมูลเพิ่มเติมคุณสามารถอ่านคำอธิบายทางเทคนิคของปัญหาของ Caballero