Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

Vesti, 02.04.2019, 10:30 AM

Microsoft deset meseci ignorisao prijavljene ranjivosti u Internet Exploreru i Edgeu

20-ogodišnji haker Džejms Li javno je objavio detalje i dokazni exploit za dve ranjivosti nultog dana u Microsoftovim web pregledačima, pošto mu kompanija skoro godinu dana nije odgovorila kada ju je obavestio o svom otkriću.

Obe ranjivosti, od kojih jedna utiče na najnoviju verziju Microsoft Internet Explorera, a druga utiče na Edge, omogućavaju udaljenom napadaču da zaobiđe SOP (Same Origin Policy) na pregledaču žrtve.

SOP je sigurnosna funkcija implementirana u modernim pregledačima koja sprečava da se podacima sa jednog domena pristupa sa drugog domena. Drugim rečima, ako posetite neki web sajt u vašem pregledaču, on može da zahteva samo podatke sa istog domen sa kog je učitan, sprečavajući bilo kakve neovlašćene zahteve u vaše ime kako bi ukrao vaše podatke, sa drugih sajtova.

Ranjivosti koje je otkrio Džejms Li mogle bi omogućiti malicioznom web sajtu da izvodi UXSS (universal cross-site scripting) napade na bilo koji domen koji je posećen pomoću ranjivog Microsoftovih pregledača.

Da bi uspešno iskoristili ove ranjivosti, napadači treba da ubede žrtvu da otvori zlonamerni sajt, koji im omogućava da ukradu osetljive podatke žrtve, kao što su sesije prijavljivanja i kolačići sa drugih sajtova koji su posećeni u istom pregledaču.

Li je kontaktirao Microsoft pre deset meseci da bi prijavio kompaniji ono što je otkrio, ali je Microsoft ignorisao problem i nije mu odgovorio.

Li je sada objavio dokazne exploite za obe ranjivosti.

Ove ranjivosti su slične onima koje je Microsoft prošle godine ispravo u Internet Exploreru (CVE-2018-8351) i Edgeu (CVE-2018-8545).

Pošto su detalji o ranjivostima sada javno dostupni, sajber kriminalcima neće biti potrebno mnogo vremena da iskoriste greške i napadnu Microsoftove korisnike.

Trenutno nema mnogo toga što korisnici mogu da urade da bi izbegli ovaj problem dok Microsoft ne objavi zakrpe. Ono što mogu da urade je da do tada koriste druge pregledače.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje