Хакеры похищают файлы пользователей через баг в браузере Microsoft Edge
Уязвимость позволяет злоумышленникам скачать любой файл из компьютера жертвы.
Эксперты из компании Netsparker обнаружили новый баг в популярном браузере Microsoft Edge. Сейчас ошибка уже была исправлена компанией Microsoft с очередным обновлением системы безопасности. Однако проблема состоит в том, что ошибка продолжает присутствовать на компьютерах ряда людей, которые обновления попросту не устанавливают.
Дело в том, что ошибка в системе безопасности Microsoft Edge приводит к тому, что хакеры похищают файлы пользователей через этот баг. По крайней мере они могут похитить данные, и информации о подобных случаях пока что нет.
Очередной баг связан с работой SOP. В Microsoft Edge, как и в других браузерах, эта функция используется для предотвращения загрузки вредоносного кода через ссылки, домен, поддомен, порт и протокол. В Microsoft Edge SOP работает так как и должен, только за исключением одного пункта: если пользователь сам загружает вредоносный файл на свой компьютер и открывает его.
Если человек запустит такой фал HTML, то вредоносный код будет загружен через file://, то есть домена и порта не будет. Это означает, что в фалах может быть код, который отвечает за кражу фалов пользователя. Таким образом хакеры могут получить большое поле для воздействия с компьютером.
Конечно же злоумышленники не знают где хранятся нужные им файлы, но зачастую это стандартные папки, вроде «Документы» или «Изображения». К тому же путь к файлу можно попросту подобрать. Однако не понятно то, зачем потенциальному хакеру нужны файлы какого-либо пользователя.
Если говорить о крупных компаниях с важной «денежной» документацией, то они используют лицензионное ПО и своевременно получают обновления. Баг с Microsoft Edge может встречаться только у рядовых пользователей, которые отключают в системе «автоматическое обновления». Данные обычных людей, которые составляют в основном всякие фото, музыку, фильмы и документы для работы, попросту никому не нужны.
