Zero-Days yang Tidak Terkirim di Microsoft Edge dan Browser IE Diungkap Secara Publik - Otak Kita

Zero-Days yang Tidak Terkirim di Microsoft Edge dan Browser IE Diungkap Secara Publik


OtakKita - Seorang peneliti keamanan hari ini mengungkapkan secara terbuka rincian dan eksploitasi konsep bukti untuk dua kerentanan nol-hari yang tidak ditambal di peramban web Microsoft setelah perusahaan tersebut diduga gagal menanggapi pengungkapan pribadi yang bertanggung jawab.

Kedua kerentanan yang belum ditambal — salah satunya memengaruhi versi terbaru Microsoft Internet Explorer dan yang lain memengaruhi Edge Browser terbaru — memungkinkan penyerang jarak jauh untuk mem-bypass kebijakan yang sama-asal pada browser web korban.

Same Origin Policy (SOP) adalah fitur keamanan yang diterapkan di browser modern yang membatasi halaman web atau skrip yang dimuat dari satu sumber untuk berinteraksi dengan sumber dari sumber lain, mencegah situs yang tidak terkait saling mengganggu satu sama lain.

Dengan kata lain, jika Anda mengunjungi situs web di peramban web Anda, itu hanya dapat meminta data dari [domain] asal yang sama dengan tempat situs itu dimuat, mencegahnya membuat permintaan tidak sah atas nama Anda untuk mencuri data Anda, dari situs lain.

Namun, kerentanan yang ditemukan oleh peneliti keamanan berusia 20 tahun James Lee, yang berbagi detail dengan The Hacker News, dapat memungkinkan situs web jahat melakukan serangan skrip lintas situs (UXSS) universal terhadap domain apa pun yang dikunjungi menggunakan web Microsoft yang rentan browser.

Untuk berhasil mengeksploitasi kerentanan ini, yang perlu dilakukan oleh semua penyerang adalah meyakinkan korban untuk membuka situs jahat [yang dibuat oleh peretas], yang pada akhirnya memungkinkan mereka untuk mencuri data sensitif korban, seperti sesi login dan cookie, dari situs lain yang dikunjungi di browser yang sama.

    "Masalahnya adalah di dalam Entri Pengaturan Waktu Sumber Daya di Peramban Microsoft yang secara tidak tepat membocorkan URL Cross-Origin setelah pengalihan," kata Lee kepada The Hacker News dalam email.


Peneliti menghubungi Microsoft dan secara bertanggung jawab berbagi temuannya dengan perusahaan sepuluh bulan yang lalu, itu hampir setahun, tetapi raksasa teknologi mengabaikan masalah dan tidak menanggapi pengungkapan sampai tanggal, meninggalkan kedua kelemahannya belum ditambal.

Lee sekarang telah merilis eksploitasi proof-of-concept (PoCs) untuk kedua masalah.

The Hacker News telah menguji dan mengkonfirmasi secara independen baik kerentanan zero-day terhadap versi terbaru dari Internet Explorer dan Edge yang berjalan pada sistem operasi Windows 10 yang sepenuhnya ditambal.

Kerentanan yang baru diungkapkan mirip dengan yang ditambal Microsoft tahun lalu di Internet Explorer-nya (CVE-2018-8351) dan Edge browser (CVE-2018-8545).

Karena rincian dan PoC untuk zero-day telah tersedia untuk umum, peretas tidak akan mengambil banyak waktu untuk mengeksploitasi kelemahan dalam upaya menargetkan pengguna Microsoft.

Yang mengecewakan adalah bahwa saat ini tidak banyak yang dapat dilakukan pengguna untuk menghindari masalah ini sampai Microsoft memperbaiki masalah keamanan. Anda dapat menggunakan browser web lain yang tidak terpengaruh oleh kerentanan ini, seperti Chrome atau Firefox.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel