2 abr. 2019

Zero-Days en Microsoft Edge y IE Browsers

El investigador de seguridad James Lee, de 20 años de edad, reveló públicamente detalles y Prueba de Concepto (PoC) para dos vulnerabilidades Zero-Days en los dos navegadores web de Microsoft.

El investigador decidió revelar la falla luego de que el gigante de la tecnología supuestamente no abordara los problemas de forma privada. El investigador informó los problemas a Microsoft hace diez meses, pero la compañía no respondió a la divulgación responsable.

Una de las fallas afecta a la última versión del navegador Edge, ambas pueden ser explotadas por un atacante remoto para evitar la Same Origin Policy (SOP) en el navegador web de la víctima.

Same Origin Policy (SOP) es un mecanismo de seguridad que se implementa en los navegadores modernos. La idea básica detrás del SOP es que el JavaScript de un origen no debería poder acceder a las propiedades de un sitio web en otro origen. Una omisión de SOP ocurre cuando siteA.com es capaz de acceder a las propiedades de siteB.com, como cookies, ubicación, etc.

La falla 0-Day descubierta por James Lee, quien compartió detalles técnicos con The Hacker News, podría ser explotada por los atacantes para configurar un sitio web malicioso para realizar ataques universales de scripts entre sitios (UXSS) contra cualquier dominio visitado utilizando la web vulnerable de Microsoft los navegadores

El atacante solo necesita engañar a las víctimas para que visiten un sitio web malicioso creado para robar los datos confidenciales de la víctima (es decir, sesión de inicio de sesión, cookies) de otros sitios visitados en el mismo navegador.

"El problema está dentro en la forma en que se filtran incorrectamente las URL de origen cruzado después de la redirección", dijo Lee a The Hacker News en un correo electrónico.

Lee también lanzó exploits de prueba de concepto (PoC) para ambas vulnerabilidades.
Other PoCs for Microsoft Edge and Internet Explorer.
Internet Explorer: https://t.co/fI5N7NcPMS
Microsoft Edge: https://t.co/XNGthqQnYk
En Hacker News han probado y confirmado la falla contra la última versión de Internet Explorer y Edge que se ejecutan en un sistema operativo Windows 10 completamente parcheado.

A la espera de una solución, los usuarios podrían usar otros navegadores web como Chrome o Firefox.

Fuente: SecurityAffairs

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!