随着Windows 10创作者版本的发布,微软已经付出了很大的努力,使微软Edge浏览器更加安全,但现在看起来安全漏洞仍然存在,更糟糕的是,微软并不热衷于修复这些安全漏洞。最新的安全漏洞是由康众智防(微信公众号:kznsdi)网络安全实验室发现的,他们的研究员在微软Edge的同一起源策略(SOP)中遇到了一个错误,使得黑客不仅可以控制一些服务,如Twitter,而且还可以窃取受害者的密码。
在最近发表的研究报告中,安全专家解释称,SOP中的错误(本质上是阻止网站访问另一个网站管理的数据的安全功能)允许恶意代码执行,包括受害者首先点击一个恶意链接。数据统一资源标识符(URI),元刷新标签和“关于:空白”页面被用于成功的利用,在一种情况下,安全研究人员设法在Bing上执行恶意代码,然后窃取用户的Twitter帐户代表他发布。
成功的攻击使用边缘密码管理器,用户正在使用边缘密码管理器来保存密码,并在连接到受信任的网站时自动将其插入登录表单。安全专家警告称,使用受损的链接,攻击者可能会窃取密码。乍一看,这听起来很简单,成功的利用需要受害者点击受损网站,所以你应该做的第一件事情是保护他们,避免点击不受信任的链接。安全研究人员说,漏洞可能被包括
微软尚未修补漏洞,而在上述来源的声明中,该公司提供了关于是否计划提供修复的相当模糊的细节。下一个补丁周二将于5月9日发生,这是Edge边缘漏洞补丁有可能被推送到Windows客户端到期的日期。
(责任编辑:宋编辑)
