Фахівець з інформаційної безпеки Мануель Кабальєро виявив уразливість в коді веб-браузера Microsoft Edge в системі Windows 10. Вона дає зловмисникам отримати доступ до паролів і кукі-файлів на комп’ютері, надаючи неавторизований доступ до сайтів на зразок Facebook і Twitter.

Проблема криється всередині правила обмеження домену (Same Origin Policy, SOP) в браузері Edge. Як виявилося, реалізація цього механізму фахівцями Microsoft залишає бажати кращого, оскільки ця уразливість в ньому є вже третьою. Два перш знайдених методу зловживання цим правилом досі не були закриті в оновлення операційної системи Windows 10.

Остання вразливість, якщо вірити дослідникам, є самою швидкою та прямолінійною серед усіх трьох. Кабальєро також висловив незадоволення непостійним циклом оновлень браузера Microsoft Edge в порівнянні з конкурентами на зразок Google Chrome і Mozilla Firefox.

В якості доказу існування уразливості і можливості використовувати її Кабальєро опублікував відео на YouTube, а також статтю у своєму блозі.

Це відкриття було зроблено через кілька днів після того, як компанія Google в рамках свого проекту Zero виявила в Windows 10 вразливість, ступінь тяжкості якої описала словом «кричуща». Вона була закрита Microsoft протягом доби.

Джерела:

ITHelpblog.pro

oszone.net