Microsoft не планирует исправлять уязвимость в браузере Edge

Компания Microsoft предпочла не исправлять уязвимость в браузере Edge, влияющую на безопасность данных. По мнению экспертов, она может привести к утечке конфиденциальных данных, пишет Threatpost.

Николай Грёдум (Nicolai Grødum), исследователь в Cisco Talos, поделился в корпоративном блоге подробностями об этой уязвимости, которая также затрагивает старые версии таких браузеров, как Google Chrome и Apple Safari, построенных на движке Webkit.

По его словам, злоумышленник может организовать утечку информации в Edge, добавив в header CSP ключевое слово unsafe-inline, которое разрешает выполнение inline-скрипта. После этого злоумышленник может воспользоваться методом window.open(), чтобы открыть новое окно, и вызвать функцию document.write. Таким образом, продолжает Грёдум, у злоумышленника появится возможность выполнить код в пустом окне и обойти CSP.

Стандарт Content Security Policy CSP представляет собой стандартную технику, добавляющую еще один уровень безопасности. Она должна противодействовать межсайтовому выполнению сценариев, кликджекингу и внедрению посторонних данных.

Страница about:blank в уязвимых браузерах имеет тот же источник, что и загрузившая ее страница, но на ней отсутствуют ограничения CSP. По мнению Грёдума, это оставляет возможность эксплуатации, если предположить, что злоумышленник смог как-то заманить пользователя на вредоносную веб-страницу.

Николай Грёдум описывает эту недоработку в Edge в корпоративном отчете об уязвимости: «Создав новый документ методом window.open(«»,»_blank») и наполнив его при помощи функции document.write, злоумышленник, находясь на странице about:blank, может обойти ограничения CSP, наложенные на документ, где исполнялся исходный код JavaScript, и добраться до других сайтов».

Эта проблема актуальна в последней стабильной версии браузера Microsoft Edge 40.15063, выпущенной в апреле этого года. Разработчики браузера ответили компании Cisco, что политики CSP настроены в соответствии с их задумкой и что они не планируют исправлять проблему.

Компания Cisco впервые сообщила об этой проблеме в ноябре прошлого года. В марте компания Microsoft ответила, что не считает это уязвимостью. Вопрос оставался открытым до августа, после чего компания Cisco начала готовить публикацию своей находки.

Это уже вторая за неделю уязвимость, которую компания Microsoft публично отказалась исправлять. Специалисты EnSilo в прошлый четверг предупредили о том, что присутствующие еще со времен Windows 2000 интерфейсы API могут использоваться злоумышленниками для обхода защитного ПО и установки вредоносных исполняемых файлов.

Компания Microsoft так прокомментировала это изданию Threatpost: «Наши специалисты рассмотрели предоставленную информацию и пришли к выводу, что описанное в ней не представляет собой угрозу безопасности, и мы не планируем включать исправление в обновления безопасности».

Автор:	Softodrom.ru
Дата:	11.09.2017 21:49