Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

Vesti, 02.04.2019, 10:30 AM

Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

20-ogodišnji haker Džejms Li javno je objavio detalje i dokazni exploit za dve ranjivosti nultog dana u Microsoftovim web pregledačima, pošto mu kompanija skoro godinu dana nije odgovorila kada ju je obavestio o svom otkriću.

Obe ranjivosti, od kojih jedna utiče na najnoviju verziju Microsoft Internet Explorera, a druga utiče na Edge, omogućavaju udaljenom napadaču da zaobiđe SOP (Same Origin Policy) na pregledaču žrtve.

SOP je sigurnosna funkcija implementirana u modernim pregledačima koja sprečava da se podacima sa jednog domena pristupa sa drugog domena. Drugim rečima, ako posetite neki web sajt u vašem pregledaču, on može da zahteva samo podatke sa istog domen sa kog je učitan, sprečavajući bilo kakve neovlašćene zahteve u vaše ime kako bi ukrao vaše podatke, sa drugih sajtova.

Ranjivosti koje je otkrio Džejms Li mogle bi omogućiti malicioznom web sajtu da izvodi UXSS (universal cross-site scripting) napade na bilo koji domen koji je posećen pomoću ranjivog Microsoftovih pregledača.

Da bi uspešno iskoristili ove ranjivosti, napadači treba da ubede žrtvu da otvori zlonamerni sajt, koji im omogućava da ukradu osetljive podatke žrtve, kao što su sesije prijavljivanja i kolačići sa drugih sajtova koji su posećeni u istom pregledaču.

Li je kontaktirao Microsoft pre deset meseci da bi prijavio kompaniji ono što je otkrio, ali je Microsoft ignorisao problem i nije mu odgovorio.

Li je sada objavio dokazne exploite za obe ranjivosti.

Ove ranjivosti su slične onima koje je Microsoft prošle godine ispravo u Internet Exploreru (CVE-2018-8351) i Edgeu (CVE-2018-8545).

Pošto su detalji o ranjivostima sada javno dostupni, sajber kriminalcima neće biti potrebno mnogo vremena da iskoriste greške i napadnu Microsoftove korisnike.

Trenutno nema mnogo toga što korisnici mogu da urade da bi izbegli ovaj problem dok Microsoft ne objavi zakrpe. Ono što mogu da urade je da do tada koriste druge pregledače.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Email nalog sa omogućenom verifikacijom u dva koraka je (ponekad) lako hakovati

Ako zaboravite vašu lozinku za Gmail a omogućili ste dvofaktornu autentifikaciju (2FA), Google će vam poslati SMS ili vas pozvati i dobićete kod... Dalje

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

CIA tvrdi da je Huawei dobio sredstva od kineskih obaveštajnih agencija

Ranije ove godine, Centralna obavještajna agencija (CIA) je obavestila svoje kolege u Australiji, Kanadi, Novom Zelandu i Velikoj Britaniji da je kin... Dalje

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft počeo da prikazuje korisnicima Windowsa 7 upozorenje o ukidanju podrške

Microsoft je počeo da upozorava korisnike Windowsa 7 da se približava kraj podrške koji je zakazan za januar 2020. godine. Nemački sajt DrWindow o... Dalje

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Američka Agencija za borbu protiv narkotika (DEA), tražila je od LastPassa, proizvođača jednog od najpopularnijih menadžera lozinki, informacije ... Dalje

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija zvanično je potvrdila da „ne poseduje bilo kakav dokaz o potencijalnim problemima povezanim sa korišćenjem proizvoda kompan... Dalje