Edge浏览器曝新漏洞:可被攻击者窃取cookie与密码数据

安全研究人员 Manuel Caballero 已经在微软 Windows 10 默认的 Edge 浏览器中发现了一个漏洞。攻击者们可利用它来窃取用户计算机上的密码或 cookie 数据,从而未经授权地访问其它网站的账号(比如 Facebook 或 Twitter)。其解释称,漏洞源于 Edge 浏览器“同源策略”(SOP)中的一个问题,而原本这项安全措施是用来防止某个域名下的数据被另一个域名所使用。

遗憾的是,微软在部署策略的时候出现了点问题,这也是其曝出的第三个类似漏洞。更糟糕的是,此前发现的两个漏洞,到现在都还没被补上。而据 Caballero 所述,他的方法甚至更快、更直接。

Caballero 指出,与 Google Chrome 和 Mozilla Firefox 等竞争对手相比,微软浏览器“相对刻板”的补丁周期难辞其咎。

本文转自d1net(转载)

时间: 2024-09-17 08:46:20

Edge浏览器曝新漏洞:可被攻击者窃取cookie与密码数据的相关文章

微软浏览器再曝新漏洞 最新版IE8未能幸免

2月5日消息,据国外媒体报道,微软周三提醒用户,IE浏览器再曝新漏洞,最新版的IE8也未能幸免. 微软称,在特定情况下,该漏洞允许黑客获取用户计算机中所存储的文件.微软在一份安全声明中称:"如果用户使用特定版本的IE浏览器,即使在'安全浏览'模式下,黑客也可以获得所需文件,但前提是知道文件名和路径." 受影响的浏览器版本包括Windows 2000上的IE 5.01和IE 6,Windows 2000 SP4上的IE 6,Windows XP和Windows Server 2003上的

iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息

本文讲的是iCloud Keychain加密曝漏洞,允许攻击者窃取各类信息,据安全公司Longterm Security指出,一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能,并且可能允许攻击者窃取密码,信用卡和任何的其它文件信息.据这一漏洞有可能会成为今年最具破坏性的安全漏洞之一. 该漏洞利用了苹果iCloud Keychain可以在设备上同步私密数据的缺陷,如文件中的密码和信用卡,如果一旦被利用,可能会让攻击者窃取存储在iPhone.iPad或Mac上的任何秘密. Lo

苹果iOS10曝新漏洞:超长字符让激活锁形同虚设

激活锁是苹果对抗iPhone窃贼的主要手段之一,它的作用是当使用者试图关闭查找iPhone功能或恢复出厂化设置时要求其输入Apple ID密码,以确认使用者是否是机主本人.苹果iOS10曝新漏洞:超长字符让激活锁形同虚设 但遗憾的是,安全专家最近一下子就发现了2种绕过激活锁的方法.第一种方法由安全研究者Hemanth Joseph所发现,他在iPad的Wi-Fi设置窗口当中输入了超长字符,以此使得iOS的安全软件层崩溃. 虽然苹果据称已经在iOS 10.1.1升级当中修复了这个bug,但bug悬

Android曝新漏洞:黑客可用一键认证盗取用户密码

近段时间,黑客们在Android系统中发现了大量的漏洞,其中包括了将合法Android软件变成恶意软件.FBI可远程监听Android电话麦克风等等.现在, PCWorld又曝出了Android的一个新漏洞--使用谷歌的一键式认证即可盗取用户密码.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 464px; height: 338px" border="0&quo

Flash 插件又被曝出新漏洞,让攻击者可以控制 Mac

Adobe 今天宣布,新发现了 Flash 插件中的安全漏洞可以允许攻击者远程控制 Mac.PC 和 Linux 电脑.Adobe 建议用户尽快升级系统中的 Flash 插件.这次的漏洞影响 Mac 平台上13.0.0.201或更早版本的 Flash,Windows 平台上13.0.0.182或更早版本的 Flash,以及 Linux 平台上11.2.202.350或更早的版本. Mac 和 PC 用户需要升级至 Flash 播放器13.0.0.206,而 Linux 用户可以升级至 Flash

PDF放心看!Win10 Edge浏览器致命安全漏洞已修复

国外安全人员曾在Win10内置Edge浏览器中发现致命安全漏洞,用户如果使用Edge浏览器查看特制PDF文件,点击"雷区"就会让攻击者获得远程代码执行权限,严重危害系统安全. 现在微软已经通过3月累积更新KB3140745(面向10240用户)和KB3140768(面向10586用户)修复了该漏洞,并且一并解决了该问题的"罪魁祸首":PDF通用库安全问题.这个库是Win10中默认内置的组件,凡是用到PDF浏览功能的应用都会调用这个库,因此潜在的安全威胁绝不仅限Edg

安卓被曝新漏洞 Google语音搜索攻击

[中关村在线软件资讯]7月25日消息:据媒体报道,安卓被曝出新漏洞,Google语音搜索攻击,攻击者可利用一个零权限的Android应用VoicEmployer,前台激活操作系统内置的语音助手模块GoogleVoiceSearch,后台播放预先准备好的音频文件,语音搜索能识别语音命令执行相应操作.Google语音搜索借助这一机制,攻击者不需要任何权限就可以拨打任意电话号码,伪造短信/电子邮件,访问私人信息传输敏感数据,实现远程控制.研究人员认为,在理论上任何内置GoogleServices Fr

iPhone又曝新漏洞 一条短信能让手机崩溃

iPhone中曝出了一个新漏洞.有心人只要发送一条内容为一串特殊字符的短信息就能让接收方的手机崩溃. 关于这个漏洞的消息是由苹果新闻网站9to5Mac最先报道的,只有iPhone手机之间的通讯才会受到这个漏洞的影响.据说用户接到这样的短信息之后,手机上的Messages应用就会不断崩溃.在某些情况下,这个漏洞还会导致iPhone重启. 据说这段特殊的字符的内容是:"effective. Power h 冗". 笔者亲自试了一下,但是并没有出现Messages应用崩溃或手机重启的现象.这

Linux曝新漏洞 按住Enter键70秒可触发

目前,Linux系统再次曝出新漏洞,漏洞代码CVE-2016-4484,攻击者只需长按Enter键70秒,便能获得initramfs shell的root权限,从而让攻击者拥有破解该Linux设备的可能. 据悉,由于Linux中的常用变量Linux统一密钥设置(Linux Unified Key Setup,LUKS)中存在一个漏洞,攻击者通过访问shell,就可以解密运行Linux的设备.同时,该攻击对于云端的虚拟Linux boxen套件同样有效.而且,Debian.Ubuntu.Fedor