EL NAVEGADOR WEB EDGE PERMITE EL ROBO DE CREDENCIALES DE FACEBOOK Y TWITTER

Investigador de seguridad Manuel Caballero ha descubierto otra vulnerabilidad en el navegador Edge que puede ser explotado para eludir una función de protección de seguridad y robar datos como contraseñas de otros sitios, o los archivos cookie que contienen información confidencial

Para explotar el fallo, Caballero dice que un atacante puede utilizar el servidor y redirigir solicitudes combinados con URIs de datos, que le permitirían confundir filtro de SOP de Edge y cargar los recursos no autorizados en los dominios sensibles.

Al final, el atacante será capaz de inyectar una forma contraseña en otro dominio, que el administrador de contraseñas Edge incorporada completará automáticamente con las credenciales del usuario para ese dominio.

Hace dos semanas, Caballero encontró otra derivación de SOP en Edge , que un atacante también podría aprovechar para robar las cookies y contraseñas. Esa hazaña particular, se basó en una combinación de URIs de datos, la etiqueta meta de actualización, y las páginas sin dominio, como about: blank.

En comparación con el bypass SOP anterior, la técnica publicada el 10 de mayo por Caballero tiene la ventaja de que es más rápido para ejecutar en comparación con el primero, lo que requiere que el atacante sesión de los usuarios de sus cuentas y volver a autenticarse con el fin de recoger sus credenciales.

Caballero tiene una historia de encontrar errores graves en los navegadores de Microsoft. Anteriormente también se omite el SOP Edge usando el nuevo modo de lectura de Edge , mostró cómo se puede abusar del filtro SmartScreen de seguridad para estafas de soporte técnico, y encontró un grave ataque de JavaScript en Internet Explorer 11 (aún sin parche).