Авторизация  
///AMG

Опубликованы эксплоиты для уязвимостей в Microsoft Edge и IE

В теме 1 сообщение

Специалист в области безопасности Джеймс Ли (James Lee) обнародовал PoC-коды для двух уязвимостей в Microsoft Edge и Internet Explorer, позволяющих обойти политику единого происхождения (Same Origin Policy, SOP) в браузерах. Решение о публикации принято после того, как компания Microsoft проигнорировала отчет о проблеме.

Выявленные исследователем уязвимости предоставляют возможность провести UXSS-атаку (Universal Cross-site Scripting). UXSS - ошибка в логике работы браузера, благодаря которой злоумышленник может выполнить javascript сценарий в рамках произвольного сайта.

Для успешной эксплуатации уязвимости атакующему потребуется всего лишь убедить жертву открыть вредоносный сайт. Как пояснил Ли, причина проблемы заключается в том, что API Resource Timing раскрывает адреса заданных доменов после переадресации.

Эксперт проинформировал Microsoft об уязвимости почти год назад, однако компания никак не отреагировала на его сообщение. В итоге проблема по сей день остается неисправленной.

Политика единого происхождения - функция безопасности в современных браузерах, позволяющая взаимодействовать с web-страницами с одного и того же сайта и вместе с тем предотвращать вмешательство не связанных друг с другом ресурсов.

https://twitter.com/Windowsrcer/status/1111593640357355520

 

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация