安全研究人員 manuel caballero 已經在微軟 windows 10 預設的 edge 浏覽器中發現了一個漏洞。攻擊者們可利用它來竊取使用者計算機上的密碼或 cookie 資料,進而未經授權地通路其它網站的賬号(比如 facebook 或 twitter)。其解釋稱,漏洞源于 edge 浏覽器“同源政策”(sop)中的一個問題,而原本這項安全措施是用來防止某個域名下的資料被另一個域名所使用。
遺憾的是,微軟在部署政策的時候出現了點問題,這也是其曝出的第三個類似漏洞。更糟糕的是,此前發現的兩個漏洞,到現在都還沒被補上。而據 caballero 所述,他的方法甚至更快、更直接。
caballero 指出,與 google chrome 和 mozilla firefox 等競争對手相比,微軟浏覽器“相對刻闆”的更新檔周期難辭其咎。
本文轉自d1net(轉載)