Уязвимость браузера Edge позволяет красть пароли и файлы куки

Обнаружена уязвимость в коде веб-браузера Microsoft Edge в системе Windows 10. Она даёт злоумышленникам возможность получить доступ к паролям и куки-файлам на компьютере. Это открытие было сделано через несколько дней после того, как компания Google в рамках своего проекта Zero обнаружила в Windows 10 уязвимость, степень тяжести которой описала словом «вопиющая». Она была закрыта Microsoft в течение суток.

Уязвимость IE открывает дверь для мощных фишинговых-атак

Баг, описанный как универсальный кросс-сайт уязвимых сценариев, был раскрыт в субботу. Дэвид Лео, исследователь консалтинговой фирмы безопасности под названием Deusen. Сообщение Лео включает в себя ссылку на доказательства правильного концепта эксплойта, который демонстрирует атаку, используя сайт dailymail.co.uk в качестве цели.

При открытии в Internet Explorer 11, используется страница, которая предоставляет пользователю ссылку. Когда пользователь переходит по ссылке, открывается в новом окне сайт dailymail.co.uk но через 7 секунд контент сайта заменен надписью “Hacked by Deusen.” Фейковая страница загружается из внешнего домена, но в адресной строке браузера продолжает отображать www.dailymail.co.uk, что означает, что метод может быть использован для создания надежных фишинговых-атак.