Microsoft не планирует исправлять уязвимость в браузере Edge





Компания Microsoft предпочла не исправлять уязвимость в браузере Edge, влияющую на безопасность данных. По мнению экспертов, она может привести к утечке конфиденциальных данных, пишет Threatpost.

Николай Грёдум (Nicolai Grødum), исследователь в Cisco Talos, поделился в корпоративном блоге подробностями об этой уязвимости, которая также затрагивает старые версии таких браузеров, как Google Chrome и Apple Safari, построенных на движке Webkit.

По его словам, злоумышленник может организовать утечку информации в Edge, добавив в header CSP ключевое слово unsafe-inline, которое разрешает выполнение inline-скрипта. После этого злоумышленник может воспользоваться методом window.open(), чтобы открыть новое окно, и вызвать функцию document.write. Таким образом, продолжает Грёдум, у злоумышленника появится возможность выполнить код в пустом окне и обойти CSP.

Стандарт Content Security Policy CSP представляет собой стандартную технику, добавляющую еще один уровень безопасности. Она должна противодействовать межсайтовому выполнению сценариев, кликджекингу и внедрению посторонних данных.

Страница about:blank в уязвимых браузерах имеет тот же источник, что и загрузившая ее страница, но на ней отсутствуют ограничения CSP. По мнению Грёдума, это оставляет возможность эксплуатации, если предположить, что злоумышленник смог как-то заманить пользователя на вредоносную веб-страницу.

Николай Грёдум описывает эту недоработку в Edge в корпоративном отчете об уязвимости: «Создав новый документ методом window.open(«»,»_blank») и наполнив его при помощи функции document.write, злоумышленник, находясь на странице about:blank, может обойти ограничения CSP, наложенные на документ, где исполнялся исходный код JavaScript, и добраться до других сайтов».

Эта проблема актуальна в последней стабильной версии браузера Microsoft Edge 40.15063, выпущенной в апреле этого года. Разработчики браузера ответили компании Cisco, что политики CSP настроены в соответствии с их задумкой и что они не планируют исправлять проблему.

Компания Cisco впервые сообщила об этой проблеме в ноябре прошлого года. В марте компания Microsoft ответила, что не считает это уязвимостью. Вопрос оставался открытым до августа, после чего компания Cisco начала готовить публикацию своей находки.

Это уже вторая за неделю уязвимость, которую компания Microsoft публично отказалась исправлять. Специалисты EnSilo в прошлый четверг предупредили о том, что присутствующие еще со времен Windows 2000 интерфейсы API могут использоваться злоумышленниками для обхода защитного ПО и установки вредоносных исполняемых файлов.

Компания Microsoft так прокомментировала это изданию Threatpost: «Наши специалисты рассмотрели предоставленную информацию и пришли к выводу, что описанное в ней не представляет собой угрозу безопасности, и мы не планируем включать исправление в обновления безопасности».
Автор: Softodrom.ru
Дата: 11.09.2017


utrennik
utrennik, 11.09.2017 23:44
А Софтодром не планирует исправлять загрузку скриптов по HTTP? (https://support.google.com/chrome/answer/1342714?hl=ru)
Стас Пихайлов
Стас Пихайлов, 11.09.2017 23:01
Вам дали бесплатный браузер, а вы еще хотите, чтобы вам уязвимости исправляли?
» Прочитать остальные / Написать свой комментарий


Новости > Безопасность > Microsoft не планирует исправлять уязвимость в браузере Edge
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Как скрытые майнеры криптовалют попадают на ваш компьютер
«Лаборатория Касперского» рассказала о том, как скрытые майнеры криптовалют попадают на ваш компьютер
Федеральные каналы проигнорировали массовые эвакуации людей по всей России
Звонки и эвакуации по всей России продолжаются с понедельника, но официальной реакции властей нет до сих пор
Хакеры взломали CCleaner и украли данные 2 млн пользователей
Компания-разработчик рекомендует всем пользователям произвести обновление до новейшей версии CCleaner
Microsoft не планирует исправлять уязвимость в браузере Edge
Это уже вторая за неделю уязвимость, которую компания Microsoft публично отказалась исправлять
WikiLeaks рассказал о слежке ФСБ за россиянами
WikiLeaks опубликовал материалы о том, как российские спецслужбы следят за гражданами с помощью СОРМ
Новинки раздела Безопасность
Сотрудника «Яндекса», обещавшего плюнуть в Путина, не пустили на работу
За полчаса перед приездом Владимира Путина сотрудникам «Яндекса» запретили вставать с мест
Десятки миллионов пользователей скачали крадущий данные антивирус
Приложение от китайского производителя скачали и установили от 10 до 50 миллионов раз
WikiLeaks рассказал о слежке ФСБ за россиянами
WikiLeaks опубликовал материалы о том, как российские спецслужбы следят за гражданами с помощью СОРМ
Глава МЧС прокомментировал массовые эвакуации по всей России
На «правительственном часе» в Госдуме глава МЧС России Владимир Пучков прокомментировал массовые эвакуации людей по всей стране
Сайт, распознающий лица, вычислил участников митинга Навального
Символом протестных движений в мире стал Аноним в маске Гая Фокса, но на практике ни о какой анонимности на уличных акциях речи быть не может
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».