微軟Edge瀏覽器出現可讓駭客竊取本機資料的漏洞、兩個file:// URL的傳輸埠、主機名稱和協定都一樣

快修補! 微軟Edge瀏覽器有本機資料竊取漏洞

安全研究人員發現,微軟Edge 瀏覽器出現可讓駭客竊取本機資料的漏洞,不過微軟已經修補本項漏洞。

這個漏洞是由安全公司Netsparker研究員Ziyahan Albeniz發現。這個漏洞出在瀏覽器中的同源政策(Same Origin Policy)。所謂同源是指主機名、協定、傳輸埠相同。不同源的客戶端腳本,像Javascript、ActionScript在沒明確授權的情況下,不能讀寫對方客戶端的資源。今日多數瀏覽器都會實作這個安全政策,因此瀏覽器不允許從AJAX 呼叫電腦上的file://c/your/stuff.txt檔案。

但file//協定相當特殊;兩個file:// URL的傳輸埠、主機名稱和協定都一樣。因此,如果瀏覽器未加入封鎖file://存取的規則,則使用者點選內含某個檔案路徑的HTML檔,就可能導致電腦某個資料夾的檔案被人讀取、下載或執行。

這類竊取文件的最好方法是網釣郵件,騙取使用者下載及執行惡意HTML檔案。Albeniz測試後證實,除了Edge之外,微軟Windows 郵件(Mail)及行事曆(Calendar) app也都可以執行外部傳來的HTML檔案。

這類網釣竊密法無法造成大規模佈署,但可用以竊取公司高層或官員的機密資訊。研究人員指出,雖然攻擊者需要知道目標檔案的儲存位置,但一般OS和app組態、儲存路徑大概都差不多,可以推測檔案的所在地。

微軟已經在七月中的每月安全更新中,修補Edge的該項漏洞。除了更新到最新版本的Edge、郵件和行事曆程式外,研究人員也呼籲用戶不要隨意開啟來路不明或奇怪的HTML檔案。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏