Microsoft Edge 브라우저에 심각한 암호 취약점이있는 것 같습니다. 최근 보고서에 따르면 공격자 또는 해커는 온라인 계정의 사용자 암호 및 쿠키 파일을 쉽게 얻을 수 있으며 보안 전문가 Manuel Caballero가 발견 한 취약점 인 Edge 및 Internet Explorer 버그 및 결함에 대한 광범위한 경험이있는 사람입니다.

공격자는 Edge의 SOP 보호를 우회 할 수 있습니다

이 취약점으로 인해 침입자는 데이터 URI, 메타 새로 고침 태그 및 about: blank 와 같은 도메인없는 페이지를 사용하여 악성 코드를로드하고 실행할 수 있습니다. 이 악용 기법에는 많은 변형이 있으며 Caballero는 해커가 악의적 인 URL에 액세스하도록 사용자를 속이는 것만으로 유명 사이트에서 코드를 실행할 수있는 방법을 보여주었습니다.

Caballero는 Bing 홈페이지에서 코드를 실행하고 다른 사용자의 이름으로 트윗하고 트위터 계정에서 비밀번호와 쿠키 파일을 훔친 세 가지 데모를 보여주었습니다.

마지막 공격은 최신 브라우저 디자인에서 보안 오류를 다시 나타 냈습니다. 해커가 사용자를 로그 아웃하고 로그인 페이지를로드하며 브라우저의 비밀번호 자동 완성 기능으로 자동으로 채워진 사용자의 자격 증명을 훔치는 기능입니다.

이 취약점은 여전히 ​​패치되지 않았습니다. 이러한 이유로 Caballero는 다운로드 데모를 제공하여 사용자가 소스 코드를 검사하고 비밀번호와 쿠키가 업로드되지 않았는지 확인할 수 있습니다.

악성 광고에 의한 공격 자동화

또한 Amazon, Facebook 등과 같은 더 많은 온라인 서비스의 비밀번호 또는 쿠키를 덤프하도록 공격을 사용자 정의 할 수있는 것으로 보입니다. “ UXSS / SOP 바이 패스는 각 브라우저마다 고유 한 경향이 있기 때문에 Edge 만 영향을받습니다.”

최신 광고는 브라우저에 JavaScript 코드를 제공하므로 공격자는 악성 광고 캠페인을 촉진하여이 악용 사례를 대량의 피해자에게 자동으로 제공 할 수 있습니다.

자세한 내용은 Caballero의 문제에 대한 기술적 설명을 참조하십시오.