Microsoft Edge瀏覽器曝嚴重漏洞CVE-2018-8235,泄露敏感數據!
最新
06-26
日前,Google研究人員Jake Archibald在微軟Edge瀏覽器中發現了一個嚴重漏洞,它被追蹤為CVE-2018-8235,該漏洞被稱為「Wavethrough」,遠程攻擊者可以利用該漏洞繞過同源策略(SOP)限制,來獲取敏感數據。
「當Microsoft Edge不正確地處理不同來源的請求時,存在一個安全功能繞過漏洞。」 微軟公布了安全通報。「該漏洞允許Microsoft Edge繞過同源策略(SOP)限制, 成功利用此漏洞的攻擊者可強制瀏覽器發送數據。」
如果媒體元素使用Range標頭髮出「拒絕服務」 請求,fetch()將刪除標頭,因為它在「拒絕服務」 請求中是不允許的,「拒絕服務」 請求通過cookie發送並接收響應,一些API可能會訪問這些響應中的數據,導致泄露。
Archibald通過基於特製網站的攻擊場景發現FireFox的 beta 、 nightly 版本和Edge瀏覽器都可能發生此錯誤,目前已針對該漏洞提出修復措施,FireFox和Edge瀏覽器也在其最新版本中修復了該漏洞。
文章來源:https://Securityaffairs.co,「ISEC安全e站」獨家編譯,轉載請註明出處及本文鏈接。
TAG:美亞柏科 |