يبدو أن مستعرض Microsoft Edge لديه ثغرة أمنية شديدة في كلمة المرور. تكشف التقارير الأخيرة أن المهاجمين أو المتسللين يمكنهم بسهولة الحصول على كلمة مرور المستخدم وملفات ملفات تعريف الارتباط للحسابات عبر الإنترنت ، وهي ثغرة أمنية اكتشفها خبير الأمن مانويل كاباليرو ، وهو شخص يتمتع بخبرة واسعة في اكتشاف أخطاء وعيوب Edge و Internet Explorer.

يمكن للمهاجمين تجاوز حماية SOP من Edge

تسمح مشكلة عدم الحصانة للمهاجمين بتحميل تعليمات برمجية ضارة وتنفيذها باستخدام URIs للبيانات وعلامة تحديث Meta وصفحات غير مضبوطة مثل about: blank. يحتوي أسلوب الاستغلال هذا على العديد من الاختلافات وأظهر Caballero الطرق التي يمكن بها للمتطفل تنفيذ التعليمات البرمجية على المواقع البارزة فقط عن طريق خداع المستخدمين للوصول إلى عنوان URL ضار.

عرض Caballero ثلاثة عروض تجريبية قام خلالها بتنفيذ التعليمات البرمجية على صفحة Bing الرئيسية ، وقام بالتغريد باسم مستخدم آخر ، وسرق ملفات كلمة المرور وملفات تعريف الارتباط من حساب Twitter.

أعاد الهجوم الأخير اكتشاف خطأ أمان في تصميم المتصفحات الحديثة: قدرة المتسلل على تسجيل دخول المستخدم ، وتحميل صفحة تسجيل الدخول ، وسرقة بيانات اعتماد المستخدم التي تملأها تلقائيًا ميزة الملء التلقائي لكلمة المرور للمتصفح.

مشكلة عدم الحصانة. لهذا السبب ، قدمت Caballero عروضًا تجريبية للتنزيل حتى يتمكن المستخدمون من فحص الكود المصدري والتأكد من عدم تحميل كلمات المرور وملفات تعريف الارتباط الخاصة بهم في أي مكان.

يتم تنفيذ الهجمات تلقائيًا عن طريق malvertising

يبدو أيضًا أنه يمكن تخصيص الهجمات لإلقاء كلمات المرور أو ملفات تعريف الارتباط في المزيد من الخدمات عبر الإنترنت مثل Amazon و Facebook والمزيد. تتأثر Edge فقط لأن " تجاوزات UXSS / SOP تميل إلى أن تكون خاصة بكل متصفح."

توفر الإعلانات الحديثة شفرة جافا سكريبت JavaScript للمتصفحات ، وهذا هو السبب في أن المهاجمين يمكنهم تسهيل حملات الدعاية الآلية لإتاحة إيصال هذا الاستغلال لعدد كبير من الضحايا.

لمزيد من المعلومات ، يمكنك قراءة وصف Caballero الفني للمشكلة.