Vulnerabilidad en Microsoft Edge permite robar cookies y contraseñas
Se ha anunciado una vulnerabilidad en Microsoft Edge que podría evitar las políticas de mismo origen del navegador (SOP, Some Origin Policy); lo que podría permitir construir un ataque para conseguir las contraseñas y cookies de servicios en los que el usuario se encuentre autenticado.
 |
| ¡Oh!¡No! ¡Me han robado el Twitter! |
No es la primera vez que Caballero encuentra y reporta una vulnerabilidad de este tipo, aunque Microsoft ya las había parcheado hace tres meses. En esta ocasión el investigador vuelve a conseguir evitar las medidas de seguridad impuestas. En su informe muestra como un atacante consigue ejecutar código engañando al usuario para que pulse sobre una URL específicamente construida.
Como prueba de concepto el investigador ha creado una curiosa y divertida demostración en la que interviene una cuenta creada a nombre de Charles Darwin y otra a cargo de su rival Alfred Russel Wallace. Se puede ver cómo mientras Darwin pulsa en un enlace enviado por su archienemigo, éste se hace con su cuenta de Twitter, puede enviar un tweet como el conocido naturalista y hasta conseguir su contraseña.
Hay que señalar que el ataque también hace uso del administrador de contraseñas de Edge. Por eso, una vez más se puede recomendar evitar los administradores de contraseñas de los navegadores que pueden ser susceptibles a ataques de este tipo y provocar el robo de contraseñas.
Por el momento no hay solución. Esperemos que el 9 de mayo, fecha prevista para las siguientes actualizaciones de Microsoft, se incluya la corrección de este problema y Charles Darwin (y todos los usuarios de Edge) puedan utilizar sus servicios on-line con tranquilidad.
Más información:
SOP bypass / UXSS – Tweeting like Charles Darwin (Edge)
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
Vulnerabilidad en Microsoft Edge permite robar cookies y contraseñas
Reviewed by Zion3R
on
17:52
Rating:
Reviewed by Zion3R
on
17:52
Rating:
