RU
03.04.2019

Vulnerabilitatea în ocolirea politicii de origine unice (same origin policy) în Microsoft Edge și Internet Explorer

A fost identificată o vulnerabilitate în Microsoft Edge și Internet Explorer,
care ar putea fi exploatată de către un atacator de la distanţă pentru a ocoli politica de origine unică în sistemul vizat.

Ambele vulnerabilități sunt nefixate - una dintre acestea afectează cea mai recentă versiune a Microsoft Internet Explorer, iar cealaltă afectează cea mai recentă versiune a browser-ului Edge - şi permite unui atacator de la distanță să ocolească politica de origine unică pe browserul web al victimei.

Politica de origine unică (Same Origin Policy) este o măsură de securitate implementată în browserele moderne care restricționează interacţionarea unei pagini web sau a unui script încărcat dintr-o singură origine cu o resursă dintr-o altă origine, împiedicând interferențele dintre site-uri care nu au legătură.

Cu alte cuvinte, dacă vizitați un site web în browserul dvs, acesta poate solicita numai date din același domain de pe care a fost încărcat site-ul, în acest mod prevenind realizarea oricărei solicitări neautorizate în numele dvs care ar face posibil furtul de date din alte site-uri.

Cu toate acestea, vulnerabilitățile identificate ar putea permite unui site web maliţios să efectueze atacuri universale de scripting (UXSS) împotriva oricărui domain vizitat utilizând browserele web vulnerabile ale Microsoft.

Pentru a exploata cu succes aceste vulnerabilități, tot ce trebuie să facă atacatorii e să convingă victima să deschidă site-ul maliţios [creat de hackeri], permițându-le în cele din urmă să fure datele sensibile ale victimei, cum ar fi sesiunea de conectare și cookie-urile, de pe alte site-uri vizitate în același browser.

Produse / Sisteme afectate
•   Microsoft Internet Explorer
•   Microsoft Edge

Orange Moldova CERT recomandă utilizarea browser-elor Firefox/Chrome în loc de browserele web Microsoft, până la publicarea patch-urilor Microsoft.

Subiecte asemănătoare

Buletin informativ

Primeşte ştiri de top direct pe email