Microsoft: Edge-Lücke erlaubt Diebstahl von Dateien

Microsoft: Edge-Lücke erlaubt Diebstahl von Dateien

Microsoft
2367644 03.08.2018 | 15:09 Uhr | Denise Bergert Microsoft hat eine Sicherheitslücke im Edge-Browser geschlossen, die es Hackern ermöglicht hatte, Dateien zu stehlen.
Vergrößern Microsoft schließt eine Sicherheitslücke im Browser Edge.© Microsoft Windows-Entwickler Microsoft hat in dieser Woche eine Sicherheitslücke im Browser Edge geschlossen. Mit Hilfe von Social Engineering konnten Hacker über diese Lücke Dateien vom Computer des Nutzers stehlen. Entdeckt wurde der Flaw von Netsparker-Sicherheitsforscher Ziyahan Albeniz . Er fand heraus, dass die Lücke im Edge-Browser auf dem SOP-Sicherheitsfeature (Same-Origin Policy) beruht, das in allen Browsern zum Einsatz kommt. SOP hindert Hacker daran, Schadcode über einen Link im Browser zu laden. .



Dafür überprüft das Feature den Link auf Übereinstimmungen mit der ursprünglichen Domain, dem Port und dem Protokoll. Stimmen diese Punkte nicht überein, verweigert der Browser den Link.Die POP-Implementierung funktioniert auch im Edge-Browser einwandfrei – bis auf eine Ausnahme. Wenn der Nutzer mit einem Trick dazu gebracht wird, eine infizierte HTML-Datei auf seinen PC zu laden und diese auszuführen. Schadcode wird dann über das file://-Protokoll geladen. Da es sich dabei um eine lokale Datei handelt, greift der Sicherheitsmechanismus von POP nicht mehr. .

Schreibe einen Kommentar

* Copy This Password *

* Type Or Paste Password Here *