Контакты
Подписка
МЕНЮ
Контакты
Подписка

Опубликованы эксплоиты для действующих уязвимостей в Microsoft Edge и IE

31/03/19

micro browsersСпециалист в области безопасности Джеймс Ли (James Lee) обнародовал PoC-коды для двух уязвимостей в Microsoft Edge и Internet Explorer, позволяющих обойти политику единого происхождения (Same Origin Policy, SOP) в браузерах. Решение о публикации принято после того, как компания Microsoft проигнорировала отчет о проблеме.

Выявленные исследователем уязвимости предоставляют возможность провести UXSS-атаку (Universal Cross-site Scripting). UXSS - ошибка в логике работы браузера, благодаря которой злоумышленник может выполнить javascript сценарий в рамках произвольного сайта.

Для успешной эксплуатации уязвимости атакующему потребуется всего лишь убедить жертву открыть вредоносный сайт. Как пояснил Ли, причина проблемы заключается в том, что API Resource Timing раскрывает адреса заданных доменов после переадресации.

Эксперт проинформировал Microsoft об уязвимости почти год назад, однако компания никак не отреагировала на его сообщение. В итоге проблема по сей день остается неисправленной.

Политика единого происхождения - функция безопасности в современных браузерах, позволяющая взаимодействовать с web-страницами с одного и того же сайта и вместе с тем предотвращать вмешательство не связанных друг с другом ресурсов.

Темы:MicrosoftпоисковикиУгрозы

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...