第178期安全事件
| 英文標題 | Expert disclosed two Zero-Day ?aws in Microsoft browsers |
| 中文標題 | 研究者披露微軟網絡瀏覽器中兩個零日漏洞 |
| 作者及單位 | Pierluigi Paganini |
| 內容概述 |
研究人員披露了微軟網絡瀏覽器中兩個零日漏洞的詳細信息并發布了概念驗證。其中一個漏洞影響最新版本的 Edge 瀏覽器,遠程攻擊者可利用漏洞繞過受害者網絡瀏覽器上的同源策略,執行通用跨站腳本(UXSS)攻擊。攻擊者只需要欺 騙受害者訪問一個惡意網站,就可以從同一瀏覽器上訪問過的其他網站竊取受害者的敏感數據。問題出在 Microsoft 瀏覽器 中的資源計時條目中,這些條目在重定向后泄漏了跨源 URL。研究人員十個月前向微軟報告了這些漏洞,但微軟尚未有回應。 |
| 新聞鏈接 |
https://securityaffairs.co/wordpress/83080/hacking/microsoft-browser-zero-day.html |