可能会利用Microsoft Edge错误将您的电子邮件泄露到恶意网站

谷歌开发人员发现了一个影响微软边缘网络浏览器的高严重性漏洞,而不是Mozilla Firefox,这可能会让攻击者能够访问受害者的私人信息。

没有在最想做的时候去做的事情,都是人生的遗憾。人生需要深思熟虑,也需要一时的冲动。当你特别想做某件事时,最好能付诸行动,不要总是和那些人生的美好擦肩而过。冲动也许会付出代价,但错过也会付出遗憾的代价。

“[他]是一个巨大的错误。这意味着你可以在Edge访问我的网站,我可以阅读你的电子邮件,我可以在你不知道的情况下阅读你的Facebook提要,“ Jake Archibald写道,他偶然发现了安全漏洞并继续称之为”Wavethrough“ 。 如果被利用,则在CVE-2018-8235下跟踪的漏洞可能使远程攻击者能够从受害者浏览器中的其他选项卡中检索内容。这包括要求用户进行身份验证的站点。

在四大浏览器中,安全漏洞主要影响Microsoft Edge。在被Archibald警告之后,微软在2018年6月的补丁周二更新中推出了一个补丁。至于Firefox,只有beta版本受到影响,并且Mozilla在它可以咬住稳定的Firefox版本的用户之前急于挤压bug。同时,Safari和Chrome不受影响。

该缺陷与浏览器如何处理跨多源内容的跨源请求有关。正如Bleeping Computer所指出的,当恶意网站使用服务工作者从另一个域加载标记内的内容同时使用“range”参数来仅获取该文件的一部分时,可以利用该漏洞。

在服务工作者的帮助下,当从其他位置加载音频标签内的文件时,浏览器并不总是以相同的方式响应,并且恶意网站可以从未选中的其他站点获取此类内容。 在诱使受害者访问此类站点之后,攻击者可以有效地绕过称为CORS(跨源资源共享)的浏览器安全措施,该安全措施通常会阻止站点访问其他站点的内容。

Microsoft将漏洞列为“当Microsoft Edge不正确地处理不同来源的请求时存在的安全功能绕过漏洞”。 微软表示,“攻击者成功利用此漏洞可能会迫使浏览器发送原本会被限制的数据。”

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180725A0258N00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券