باگ امنیتی موجود در مایکروسافت Edge که می تواند به منظور ارسال ایمیل شما برای سایت های مخرب، مورد سوءاستفاده قرار گیرد.
از آنجا که وصله امنیتی ای در این خصوص به تازگی منتشر شده است به کاربران توصیه می گردد که از آخرین ورژن این مرورگر استفاده نمایند.
یکی از توسعه دهندگان گوگل یک حفره امنیتی مهم را کشف کرد که تاثیر بسیار بالایی روی مرورگر مایکروسافت و به میزان کمتری نیز روی مرورگر موزیلا داشته است.
این توسعه دهنده می گوید : این حفره یک حفره بزرگ است بدین معنی که می توانید از سایت من در مرور Edge بازدید کرده و من می توانم بدون اینکه متوجه شوید، ایمیل های شما را بخوانم و یا فیسبوک شما را چک کنم.
اگر این آسیب پذیری (CVE-2018-8235) مورد سوءاستفاده قرار گیرد، یک مهاجم از راه دور قادر خواهد بود به محتوای دیگر زبانه های مرورگر سیستم قربانی دسترسی پیدا کند. این موضوع شامل سایتهایی که در آن کاربر نیاز به ورود اطلاعات ورودی و احراز هویت دارد، نیز می شود. همچین در فایرفاکس فقط نسخه های بتا تحت تاثیر این حفره قرار گرفتند و فایرفاکس قبل از اینکه کاربران دچار مشکل شوند نسبت به رفع آن در نسخه پایدار آن، اقدام کرد.
اثرات این حفره
این نقص با مرورگرهایی که درخواست های cross-origin را به محتوای چندرسانه ای مرتبط می سازند، کار می کند. همانطور که توسط Bleeping Computer اشاره شده است، این حفره می تواند زمانی که یک وبسایت مخرب از سرویس هایی برای بارگذاری محتوا درون یک برچسب <audio>،مورد سوءاستفاده قرار گیرد.
مرورگرها همیشه از روش یکسانی برای بارگذاری فایل از یک مکان دیگر از طریق برچسب <audio> استفاده نمی کنند و کد مخرب می تواند از دیگر سایت های چک نشده، بارگیری شود.
پس از تحریک یک قربانی به بازدید از یک سابت مخرب، مهاجم می تواند محفاظ مرورگر (CROS یا Cross-Origin Resource Sharing که از دسترسی یک وبسایت در مرورگر به محتوای دیگر وبسایت ها جلوگیری می کند.) را متوقف می نماید.
مایکروسافت فهرست این حفره های امنیتی را با عنوان ” Microsoft Edge Security Feature Bypass Vulnerability” منتشر کرده است. (فهرست)
طبق گزارش مایکروسافت در صورتی که یک مهاجم به طور موفقیت آمیز از این آسیب پذیری سوءاستفاده نماید، می تواند از مرورگر داده هایی که تا قبل از این محدودیت داشته، را دریافت نماید.
