Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

Vesti, 02.04.2019, 10:30 AM

Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

20-ogodišnji haker Džejms Li javno je objavio detalje i dokazni exploit za dve ranjivosti nultog dana u Microsoftovim web pregledačima, pošto mu kompanija skoro godinu dana nije odgovorila kada ju je obavestio o svom otkriću.

Obe ranjivosti, od kojih jedna utiče na najnoviju verziju Microsoft Internet Explorera, a druga utiče na Edge, omogućavaju udaljenom napadaču da zaobiđe SOP (Same Origin Policy) na pregledaču žrtve.

SOP je sigurnosna funkcija implementirana u modernim pregledačima koja sprečava da se podacima sa jednog domena pristupa sa drugog domena. Drugim rečima, ako posetite neki web sajt u vašem pregledaču, on može da zahteva samo podatke sa istog domen sa kog je učitan, sprečavajući bilo kakve neovlašćene zahteve u vaše ime kako bi ukrao vaše podatke, sa drugih sajtova.

Ranjivosti koje je otkrio Džejms Li mogle bi omogućiti malicioznom web sajtu da izvodi UXSS (universal cross-site scripting) napade na bilo koji domen koji je posećen pomoću ranjivog Microsoftovih pregledača.

Da bi uspešno iskoristili ove ranjivosti, napadači treba da ubede žrtvu da otvori zlonamerni sajt, koji im omogućava da ukradu osetljive podatke žrtve, kao što su sesije prijavljivanja i kolačići sa drugih sajtova koji su posećeni u istom pregledaču.

Li je kontaktirao Microsoft pre deset meseci da bi prijavio kompaniji ono što je otkrio, ali je Microsoft ignorisao problem i nije mu odgovorio.

Li je sada objavio dokazne exploite za obe ranjivosti.

Ove ranjivosti su slične onima koje je Microsoft prošle godine ispravo u Internet Exploreru (CVE-2018-8351) i Edgeu (CVE-2018-8545).

Pošto su detalji o ranjivostima sada javno dostupni, sajber kriminalcima neće biti potrebno mnogo vremena da iskoriste greške i napadnu Microsoftove korisnike.

Trenutno nema mnogo toga što korisnici mogu da urade da bi izbegli ovaj problem dok Microsoft ne objavi zakrpe. Ono što mogu da urade je da do tada koriste druge pregledače.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Osnivač Foxconna smatra da Apple treba da preseli proizvodnju iPhonea iz Kine

Osnivač Foxconna smatra da Apple treba da preseli proizvodnju iPhonea iz Kine

Mnogi smatraju da je Apple sledeća žrtva trgovinskog rata između Sjedinjenih Država i Kine, posebno nakon što je kineskoj kompaniji Huawei zabra... Dalje

Ako dobijete email od TripAdvisora, promenite lozinku

Ako dobijete email od TripAdvisora, promenite lozinku

“Kao deo naših stalnih napora da zaštitimo vašu bezbednost, TripAdvisor je uporedio svoje baze podataka sa listama javno procurelih lozinki. ... Dalje

Francuski ministar finansija upozorava: Facebookova kriptovaluta Libra biće raj za teroriste i kriminalce

Francuski ministar finansija upozorava: Facebookova kriptovaluta Libra biće raj za teroriste i kriminalce

Plan Facebooka da korisnicima svojih aplikacija ponudi sopstvenu kriptovalutu već se suočava sa ozbiljnim preprekama, a evropski zvaničnici kažu ... Dalje

Grad u američkoj državi Florida platio 600000 dolara sajber kriminalcima koji su zarazili gradske sisteme ransomwareom

Grad u američkoj državi Florida platio 600000 dolara sajber kriminalcima koji su zarazili gradske sisteme ransomwareom

Kriminalne grupe koje distribuiraju ransomware sve češće napadaju gradove, upadaju u njihove sisteme i drže njihove podatke kao taoce. Kriminalci ... Dalje

Američki Kongres traži od Facebooka da zaustavi razvoj svoje kriptovalute

Američki Kongres traži od Facebooka da zaustavi razvoj svoje kriptovalute

Samo nekoliko sati pošto je Facebook najavio svoju kriptovalutu koja će se zvati Libra, koja bi korisnicima trebalo da bude dostupna od sledeće god... Dalje