微软Edge和IE浏览器中未修补的零天公开披露

两个未修补的漏洞，其中一个影响最新版本的微软Internet Explorer另一个影响最新的边缘浏览器—允许远程攻击者绕过受害者web浏览器上的同源策略。

同一原产地政策（SOP）是现代浏览器中实现的一种安全功能，它限制从一个源加载的网页或脚本与另一个源加载的资源进行交互，防止不相关的站点相互干扰。
换句话说，如果您在web浏览器上访问某个网站，它只能从加载该网站的同一来源[域]请求数据，从而防止它代表您提出任何未经授权的请求，以便从其他网站窃取您的数据。

然而，这位20岁的安全研究员发现的漏洞杰姆斯李他与黑客新闻分享了细节，可能允许恶意网站对使用易受攻击的Microsoft web浏览器访问的任何域执行通用跨站点脚本（UXSS）攻击。

为了成功利用这些漏洞，攻击者只需说服受害者打开[由黑客创建的]恶意网站，最终允许他们从同一浏览器上访问的其他网站窃取受害者的敏感数据，如登录会话和cookie。

 

Lee在一封电子邮件中告诉《黑客新闻》：“问题在于微软浏览器中的资源计时条目在重定向后不适当地泄露了跨源URL”。

这位研究人员在十个月前，也就是将近一年前，联系了微软，并负责任地与该公司分享了他的发现，但这家科技巨头忽视了这些问题，直到今天才对披露做出回应，这两个缺陷都没有修补。

Lee现在发布了这两个问题的概念验证（PoCs）漏洞。

《黑客新闻》已经独立测试并确认了针对最新版本的Internet Explorer和运行在经过完全修补的Windows 10操作系统上的Edge的零日漏洞。

新披露的漏洞与微软去年在其Internet Explorer（CVE-2018-8351）和Edge浏览器（CVE-2018-8545）中修补的漏洞类似。

由于zero days的详细信息和PoC已经公开，黑客不会花太多时间利用这些漏洞来攻击微软用户。

令人失望的是，在微软解决安全问题之前，用户目前无法避免这个问题。您可以使用不受此漏洞影响的其他web浏览器，如Chrome或Firefox。