Microsoft Edge瀏覽器曝嚴重漏洞CVE-2018-8235，泄露敏感數據！

日前，Google研究人員Jake Archibald在微軟Edge瀏覽器中發現了一個嚴重漏洞，它被追蹤為CVE-2018-8235，該漏洞被稱為「Wavethrough」，遠程攻擊者可以利用該漏洞繞過同源策略（SOP）限制，來獲取敏感數據。

「當Microsoft Edge不正確地處理不同來源的請求時，存在一個安全功能繞過漏洞。」 微軟公布了安全通報。「該漏洞允許Microsoft Edge繞過同源策略(SOP)限制， 成功利用此漏洞的攻擊者可強制瀏覽器發送數據。」

如果媒體元素使用Range標頭髮出「拒絕服務」 請求，fetch（）將刪除標頭，因為它在「拒絕服務」 請求中是不允許的，「拒絕服務」 請求通過cookie發送並接收響應，一些API可能會訪問這些響應中的數據，導致泄露。

Archibald通過基於特製網站的攻擊場景發現FireFox的 beta 、 nightly 版本和Edge瀏覽器都可能發生此錯誤，目前已針對該漏洞提出修復措施，FireFox和Edge瀏覽器也在其最新版本中修復了該漏洞。

文章來源：https://Securityaffairs.co，「ISEC安全e站」獨家編譯，轉載請註明出處及本文鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！