Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

Vesti, 02.04.2019, 10:30 AM

20-ogodišnji haker Džejms Li javno je objavio detalje i dokazni exploit za dve ranjivosti nultog dana u Microsoftovim web pregledačima, pošto mu kompanija skoro godinu dana nije odgovorila kada ju je obavestio o svom otkriću.

Obe ranjivosti, od kojih jedna utiče na najnoviju verziju Microsoft Internet Explorera, a druga utiče na Edge, omogućavaju udaljenom napadaču da zaobiđe SOP (Same Origin Policy) na pregledaču žrtve.

SOP je sigurnosna funkcija implementirana u modernim pregledačima koja sprečava da se podacima sa jednog domena pristupa sa drugog domena. Drugim rečima, ako posetite neki web sajt u vašem pregledaču, on može da zahteva samo podatke sa istog domen sa kog je učitan, sprečavajući bilo kakve neovlašćene zahteve u vaše ime kako bi ukrao vaše podatke, sa drugih sajtova.

Ranjivosti koje je otkrio Džejms Li mogle bi omogućiti malicioznom web sajtu da izvodi UXSS (universal cross-site scripting) napade na bilo koji domen koji je posećen pomoću ranjivog Microsoftovih pregledača.

Da bi uspešno iskoristili ove ranjivosti, napadači treba da ubede žrtvu da otvori zlonamerni sajt, koji im omogućava da ukradu osetljive podatke žrtve, kao što su sesije prijavljivanja i kolačići sa drugih sajtova koji su posećeni u istom pregledaču.

Li je kontaktirao Microsoft pre deset meseci da bi prijavio kompaniji ono što je otkrio, ali je Microsoft ignorisao problem i nije mu odgovorio.

Li je sada objavio dokazne exploite za obe ranjivosti.

Ove ranjivosti su slične onima koje je Microsoft prošle godine ispravo u Internet Exploreru (CVE-2018-8351) i Edgeu (CVE-2018-8545).

Pošto su detalji o ranjivostima sada javno dostupni, sajber kriminalcima neće biti potrebno mnogo vremena da iskoriste greške i napadnu Microsoftove korisnike.

Trenutno nema mnogo toga što korisnici mogu da urade da bi izbegli ovaj problem dok Microsoft ne objavi zakrpe. Ono što mogu da urade je da do tada koriste druge pregledače.