Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Опубликованы эксплоиты для действующих уязвимостей в Microsoft Edge и IE

31/03/19

micro browsersСпециалист в области безопасности Джеймс Ли (James Lee) обнародовал PoC-коды для двух уязвимостей в Microsoft Edge и Internet Explorer, позволяющих обойти политику единого происхождения (Same Origin Policy, SOP) в браузерах. Решение о публикации принято после того, как компания Microsoft проигнорировала отчет о проблеме.

Выявленные исследователем уязвимости предоставляют возможность провести UXSS-атаку (Universal Cross-site Scripting). UXSS - ошибка в логике работы браузера, благодаря которой злоумышленник может выполнить javascript сценарий в рамках произвольного сайта.

Для успешной эксплуатации уязвимости атакующему потребуется всего лишь убедить жертву открыть вредоносный сайт. Как пояснил Ли, причина проблемы заключается в том, что API Resource Timing раскрывает адреса заданных доменов после переадресации.

Эксперт проинформировал Microsoft об уязвимости почти год назад, однако компания никак не отреагировала на его сообщение. В итоге проблема по сей день остается неисправленной.

Политика единого происхождения - функция безопасности в современных браузерах, позволяющая взаимодействовать с web-страницами с одного и того же сайта и вместе с тем предотвращать вмешательство не связанных друг с другом ресурсов.

Темы:MicrosoftпоисковикиУгрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...