Badacze bezpieczeństwa ujawnili dziś szczegóły i exploity sprawdzające dwie niezaktualizowane podatności typu 0day w przeglądarkach internetowych Microsoftu po tym jak firma rzekomo nie odpowiedziała na prywatne ujawnienie podatności.
Jedna z podatności dotyczy najnowszej wersji przeglądarki Microsoft Internet Explorer, druga zaś, najnowszej przeglądarki Edge. Obie pozwalają zdalnemu atakującemu ominąć mechanizm “same-origin policy” w przeglądarce ofiary.
Aby skutecznie wykorzystać tą podatności, atakujący musi nakłonić ofiarę do otwarcia złośliwej strony internetowej, co ostatecznie pozwoli im ukraść poufne dane ofiary, takie jak np. zapisane ciasteczka, z innych witryn odwiedzanych w tej samej przeglądarce.
Ponieważ szczegóły jak i PoC dla obu podatności 0day zostały już udostępnione publicznie, przestępcy nie będą potrzebowali dużo czasu, aby wykorzystać te luki, próbując dotrzeć do użytkowników Microsoft.
Źródło: https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny