logo

Microsoft не собирается исправлять уязвимость в браузере Microsoft Edge

2 234
0
Microsoft не собирается исправлять уязвимость в браузере Microsoft Edge

Компания Microsoft продолжает удивлять своим отношением к выпускаемым продуктам. Не так давно специалисты компании Cisco Talos обнаружили уязвимость в браузерах Google Chrome, Safari и Microsoft Edge, которую можно классифицировать как обход политики безопасности контента (CSP). Механизм позволяет разработчикам веб-сайтов настраивать заголовки HTTP и давать указания веб-браузерам, какие ресурсы (jаvascript, CSS) будут загружаться и из какого источника. Обход CSP позволит злоумышленнику загрузить вредоносный jаvascript-код на устройство пользователя и выполнить операции, в том числе собрать пользовательскую информацию из файлов Cookie, регистрировать нажатия клавиш в формах и многое другое.

Google и Apple зарегистрировали уязвимость под именами CVE-2017-2419 (Safari) и CVE-2017-5033 (Chrome). К текущему моменту достоверно известно, что в Chrome 57.0.2987.98 и более новых версиях проблема была полностью устранена. Также уязвимость была закрыта в iOS 10.3 и Safari 10.1 (и более новых версиях). В браузере Firefox данная уязвимость вовсе отсутствует.

А вот Microsoft вовсе отказалась исправлять найденную уязвимость, ссылаясь на проблему в дизайне. Специалисты Cisco Talos проверили новые версии Microsoft Edge и сообщили, что уязвимость продолжает присутствовать. Проще говоря, все пользователи этого браузера подвержены возможной атаке со стороны злоумышленников.

Использовать данную уязвимость невероятно просто. Для этого злоумышленнику необходимо просто открыть новую страницу с помощью метода «_blank» и использовать функцию «document.write» на этой странице для внедрения вредоносного кода перед фактической загрузкой страницы.

Яндекс.Метрика
Top.Mail.Ru
Мы используем файлы cookie или аналогичные технологии для улучшения работы сайта. Оставаясь на сайте, вы соглашаетесь с нашей Политикой конфиденциальности.