Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

Vesti, 02.04.2019, 10:30 AM

Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

20-ogodišnji haker Džejms Li javno je objavio detalje i dokazni exploit za dve ranjivosti nultog dana u Microsoftovim web pregledačima, pošto mu kompanija skoro godinu dana nije odgovorila kada ju je obavestio o svom otkriću.

Obe ranjivosti, od kojih jedna utiče na najnoviju verziju Microsoft Internet Explorera, a druga utiče na Edge, omogućavaju udaljenom napadaču da zaobiđe SOP (Same Origin Policy) na pregledaču žrtve.

SOP je sigurnosna funkcija implementirana u modernim pregledačima koja sprečava da se podacima sa jednog domena pristupa sa drugog domena. Drugim rečima, ako posetite neki web sajt u vašem pregledaču, on može da zahteva samo podatke sa istog domen sa kog je učitan, sprečavajući bilo kakve neovlašćene zahteve u vaše ime kako bi ukrao vaše podatke, sa drugih sajtova.

Ranjivosti koje je otkrio Džejms Li mogle bi omogućiti malicioznom web sajtu da izvodi UXSS (universal cross-site scripting) napade na bilo koji domen koji je posećen pomoću ranjivog Microsoftovih pregledača.

Da bi uspešno iskoristili ove ranjivosti, napadači treba da ubede žrtvu da otvori zlonamerni sajt, koji im omogućava da ukradu osetljive podatke žrtve, kao što su sesije prijavljivanja i kolačići sa drugih sajtova koji su posećeni u istom pregledaču.

Li je kontaktirao Microsoft pre deset meseci da bi prijavio kompaniji ono što je otkrio, ali je Microsoft ignorisao problem i nije mu odgovorio.

Li je sada objavio dokazne exploite za obe ranjivosti.

Ove ranjivosti su slične onima koje je Microsoft prošle godine ispravo u Internet Exploreru (CVE-2018-8351) i Edgeu (CVE-2018-8545).

Pošto su detalji o ranjivostima sada javno dostupni, sajber kriminalcima neće biti potrebno mnogo vremena da iskoriste greške i napadnu Microsoftove korisnike.

Trenutno nema mnogo toga što korisnici mogu da urade da bi izbegli ovaj problem dok Microsoft ne objavi zakrpe. Ono što mogu da urade je da do tada koriste druge pregledače.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Proizvođači antivirusa i neprofitne organizacije koje se bave nasiljem u porodici oformili Koaliciju protiv stalkerwarea

Proizvođači antivirusa i neprofitne organizacije koje se bave nasiljem u porodici oformili Koaliciju protiv stalkerwarea

Ove nedelje osnovana je Koalcija protiv stalkerwarea, čiji je cilj da se na jednom mestu pruži pomoć žrtavama stalkwarea, kao i da definiše šta ... Dalje

Amnesty International: Google i Facebook su pretnja ljudskim pravima

Amnesty International: Google i Facebook su pretnja ljudskim pravima

Amnesty International se pridružio redovima kritičara Facebooka i Googlea, ocenom koju je izneo u svom izveštaju, da ove kompanije imaju "poslovne ... Dalje

Zvanični sajt kriptovalute Monero inficiran malverom koji krade kriptovalutu

Zvanični sajt kriptovalute Monero inficiran malverom koji krade kriptovalutu

Neko je hakovao zvanični web sajt projekta kriptovalute Monero i krišom zamenio legitimne Linux i Windows fajlove dostupne za preuzimanje maliciozni... Dalje

Interpol planira da osudi tehnološke kompanije zbog korišćenja enkripcije jer ona ''štiti pedofile''

Interpol planira da osudi tehnološke kompanije zbog korišćenja enkripcije jer ona ''štiti pedofile''

Međunarodna policijska organizacija Interpol planira da rezolucijom osudi tehnološke kompanije koje koriste snažnu enkripciju jer ona štiti pedofi... Dalje

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije prošle godine prestale da prikupljaju podatke o lokaciji mobilnih telefona, bez sudskog naloga

Američke obaveštajne agencije zaustavile su prošle godine prikupljanje podataka o lokaciji telefona u SAD, bez sudskog naloga, navodi se u pismu Ka... Dalje