Выявленные исследователем уязвимости предоставляют возможность провести UXSS-атаку (Universal Cross-site Scripting). UXSS - ошибка в логике работы браузера, благодаря которой злоумышленник может выполнить javascript сценарий в рамках произвольного сайта.
Для успешной эксплуатации уязвимости атакующему потребуется всего лишь убедить жертву открыть вредоносный сайт. Как пояснил Ли, причина проблемы заключается в том, что API Resource Timing раскрывает адреса заданных доменов после переадресации.
Эксперт проинформировал Microsoft об уязвимости почти год назад, однако компания никак не отреагировала на его сообщение. В итоге проблема по сей день остается неисправленной.
Политика единого происхождения - функция безопасности в современных браузерах, позволяющая взаимодействовать с web-страницами с одного и того же сайта и вместе с тем предотвращать вмешательство не связанных друг с другом ресурсов.