微軟Edge瀏覽器漏洞,可被惡意網站用來泄露個人電子郵件

下一個故事

鑒於該漏洞補丁已經發布,強烈建議用戶確認,已升級該瀏覽器最新版本


作者:Tomas Foltyn  時間:2018年6月22日下午2:32時


谷歌公司的開發人員發現了主要影響微軟Edge網頁瀏覽器,並在一定較低程度上影響Mozilla Firefox的一個高危漏洞,可被攻擊者用來訪問受害者的私人信息。


“這可是個大bug,意味著如果您使用Edge瀏覽器訪問我的網站,我就可以讀取您的私人電郵、 您的Facebook信息,對此您全然不知。”Jake Archibald寫道。他意外發現了這一安全漏洞,並將其命名為 “滲透波”。


該漏洞的詳細描述請見CVE-2018-8235,可令遠程攻擊者通過受害者瀏覽器之中的其他分頁訪問數據,涉及到要求用戶進行身份驗證的一類網站。


四大主流瀏覽器中,這一安全漏洞主要影響微軟Edge瀏覽器。微軟在獲悉Archibald所反饋的漏洞預警信息後,隨2018年6月星期二常規更新發布了專門補丁。對於Firefox而言,只有公測版受此影響,Mozilla在該漏洞能夠波及到Firefox穩定版用戶之前,緊急發布了修正程序。


漏洞機理

漏洞涉及到瀏覽器對多媒體內容跨域請求的處理機制。據Bleeping Computer披露,當惡意網站通過服務調用機制,加載另一網域<音頻>標簽之中內容的同時,運用“範圍”參數只調取該文件的部分區段,便可觸發該漏洞。


在借助服務調用機制,加載源自其他路徑的音頻標簽內部文件,使惡意網站能夠獲取另一站點內容並不被察覺方面,不同瀏覽器對此做出的反應不一。


引誘受害者訪問網站後,攻擊者便能有效規避名為CORS(跨域資源共享)的瀏覽器安全機制,使之無法正常阻止網站獲取其他站點內容的訪問權。


微軟將該漏洞列為“安全功能規避性漏洞,當微軟Edge瀏覽器無法正確處理多來源請求時便會存在。”


“攻擊者在成功利用此漏洞後,便能迫使瀏覽器發送原本限制上傳的數據,”微軟稱。

Tomas Foltyn 2018年6月22日下午2:32時

 

 

關於 Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於 ESET

ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。