Edge-lek maakt diefstal opgeslagen wachtwoorden mogelijk

[Captain Kirk]

Een beveiligingslek in Microsoft Edge maakt het voor kwaadaardige websites mogelijk om Facebook-, Twitter- en andere in de browser opgeslagen wachtwoorden te stelen, alsmede cookiegegevens, zo heeft de Argentijnse beveiligingsonderzoeker Manuel Caballero gedemonstreerd.

De Same Origin Policy (SOP) moet voorkomen dat een geopende website informatie van andere domeinen kan benaderen. Caballero slaagde er echter in om deze beveiligingsmaatregel binnen Edge te omzeilen. Daardoor is het voor een kwaadaardige website mogelijk om een wachtwoordformulier op een ander domein te injecteren. De Edge-wachtwoordmanager zal vervolgens via autocomplete automatisch de inloggegevens voor dit domein invoeren. De kwaadaardige website krijgt zo de inloggegevens in handen.

Voorwaarde is wel dat een gebruiker Edge gebruikt en zijn wachtwoorden via de wachtwoordmanager van de browser heeft opgeslagen. Ook is het mogelijk om via de aanval cookiegegevens te stelen, zoals Caballero in een video en speciaal gemaakte website demonstreert. "Microsoft Edge maakt grote vorderingen als het om geheugencorruptie en sandboxing gaat, maar basale ontwerpproblemen zijn nog steeds aanwezig", aldus de onderzoeker. Hij heeft Microsoft niet van tevoren over de publicatie en kwetsbaarheid ingelicht, wat inhoudt dat Edge-gebruikers nog steeds kwetsbaar zijn.

 

 

bron: security.nl