Zero Day sin parches en los navegadores Microsoft Edge e IE se revelaron públicamente.

Un investigador de seguridad hoy reveló públicamente detalles y explotaciones de prueba de concepto para dos vulnerabilidades “sin parche” de día cero en los navegadores web de Microsoft después de que la compañía supuestamente no respondió a su divulgación privada responsable.

Las dos vulnerabilidades no parcheadas, una de las cuales afecta a la última versión de Microsoft Internet Explorer y otra al último Edge Browser, permiten que un atacante remoto omita la política del mismo origen en el navegador web de la víctima.

________________________________________________________________
También le Puede Interesar:
Facebook almacenó erróneamente millones de contraseñas de usuarios en texto simple.
________________________________________________________________

Same Origin Policy (SOP) es una característica de seguridad implementada en navegadores modernos que restringe una página web o un script cargado desde un origen para interactuar con un recurso de otro origen, evitando que sitios no relacionados interfieran entre sí.

En otras palabras, si visita un sitio web en su navegador web, solo puede solicitar datos del mismo origen [dominio] desde el que se cargó el sitio, lo que le impide realizar cualquier solicitud no autorizada en su nombre para robar sus datos. otros sitios.

Sin embargo, las vulnerabilidades descubiertas por el investigador de seguridad de 20 años James Lee, quien compartió los detalles con The Hacker News, podrían permitir que un sitio web malintencionado realice ataques universales de scripts entre sitios (UXSS) contra cualquier dominio visitado utilizando la web vulnerable de Microsoft. los navegadores

Para explotar con éxito estas vulnerabilidades, todo lo que deben hacer los atacantes es convencer a una víctima de que abra el sitio web malicioso [creado por un pirata informático], lo que finalmente les permitirá robar los datos confidenciales de la víctima, como la sesión de inicio de sesión y las cookies, de otros sitios visitados en el mismo navegador.

“El problema está dentro de las Entradas de sincronización de recursos en los navegadores de Microsoft que filtran incorrectamente las URL de origen cruzado después de la redirección”, dijo Lee a The Hacker News en un correo electrónico.

El investigador se comunicó con Microsoft y compartió responsablemente su hallazgo con la compañía hace diez meses, eso es casi un año, pero el gigante de la tecnología ignoró los problemas y no respondió a la divulgación hasta la fecha, dejando ambas fallas sin resolver.

Lee ha lanzado ahora las vulnerabilidades de prueba de concepto (PoC) para ambos problemas.

Hacker News ha probado y confirmado de forma independiente las vulnerabilidades de día cero contra la última versión de Internet Explorer y Edge que se ejecutan en un sistema operativo Windows 10 completamente parcheado.

Las vulnerabilidades recientemente reveladas son similares a las de Microsoft parcheadas el año pasado en su Internet Explorer (CVE-2018-8351) y en los navegadores Edge (CVE-2018-8545).

Dado que los detalles y el PoC para los dos días cero ya se han hecho públicos, los hackers no tardarán mucho tiempo en explotar las fallas en un intento de atacar a los usuarios de Microsoft.

________________________________________________________________
También le Puede Interesar:
CEH Practice Test. La mejor Aplicación Android para Practicar el Examen “Certified Ethical Hacker” CEH!
________________________________________________________________

Lo que es decepcionante es que actualmente no hay mucho que los usuarios puedan hacer para evitar este problema hasta que Microsoft solucione los problemas de seguridad. Puede usar otros navegadores web que no estén afectados por esta vulnerabilidad, como Chrome o Firefox.

_____________________________________________________________________________
Tomado de: thehackernews.com
Se Respetan Derechos de Autor.

1069total visits,7visits today