新聞中心
微軟Edge瀏覽器漏洞,可被惡意網站用來洩露個人電子郵件
2018.09.26
 
 
Google的開發人員發現了一個影響微軟Edge及Mozilla Firefox網頁瀏覽器的一個高嚴重的安全性漏洞,它可能被允許遠端攻擊者甚至讀取你的的私人資訊。
 
這可是個大bug,它意味著如果您使用Edge瀏覽器造訪網站,其網站就可以讀取您的私人電子郵件、 您的Facebook資訊,而您卻全然不知。
 
該漏洞可令遠端攻擊者通過受害者瀏覽器之中的其他分頁讀取資料,這也包含要求使用者進行身份驗證的網站等。
 
四大主要的瀏覽器中,這一安全性漏洞主要影響微軟Edge流覽器,而微軟也在獲悉Google開發人員所反應的漏洞資訊後,隨即在2018年6月例行性安全更新中修補了此一漏洞;對於Firefox而言,只有公測版受此影響,Mozilla在該漏洞波及到Firefox穩定版用戶之前,就緊急發佈了修正程式。

關於此漏洞
 
該漏洞涉及到瀏覽器對多媒體內容跨域請求的處理機制。當惡意網站通過Service Workers,載入另一網域<audio>標籤之中內容的同時,運用“range”參數只調取該檔的部分區段,便可觸發該漏洞。
 
在借助Service Workers機制,載入源自其他路徑的<audio>標籤內部檔,使惡意網站能夠獲取另一網站內容且不被察覺之方面,不同瀏覽器對此反應不一。
 
引誘受害者造訪網站後,攻擊者便能有效規避名為CORS(Cross-Origin Resource Sharing,跨來源共用機制)的瀏覽器安全機制,使之無法正常阻止網站獲取其他網站內容的造訪權。
 
微軟將該漏洞列為“安全功能規避性漏洞,當Edge瀏覽器無法正確處理多來源請求時便會存在。”並提到“攻擊者在成功利用此漏洞後,便能迫使流覽器發送原本限制上傳的資料,”。
 
由於該漏洞已經發佈更新修補,ESET資安專家強烈建議用戶確認已升級該瀏覽器最新版本並使用專業的ESET資安產品,來保護您的個人重要資料。