Win10 Edge漏洞让黑客窃取您的密码

微软

如果你最近没有修补你的Windows 10安装 - 有一个严重的Edge浏览器漏洞,可能让远程攻击者从你的计算机窃取密码和其他敏感的个人信息。

 

Win10 Edge漏洞让黑客窃取您的密码.jpg

 

土耳其安全研究员Ziyahan Albeniz发现的这个漏洞与Edge处理本地文件的方式有关。与所有浏览器一样,Edge可以显示计算机上的HTML和其他与浏览器兼容的文件,就像显示网页一样简单(实际上只是其他人计算机上的HTML文件)。

要修复计算机上的此缺陷,请运行Microsoft发布的六月或七月安全更新程序包(如果您的计算机未设置为自动更新)。您可以转到“设置”,“更新和安全”,然后“检查更新”。如果你完全了解最新情况,那么你已经完成了。

这里的问题是,在6月安全更新之前,微软的“新”浏览器Edge并没有保护自己免受恶意本地文件的侵害 - 只有远程Web服务器上的恶意文件。这是一个愚蠢但可以理解的疏忽,正如Albeniz在其雇主网站伦敦安全公司Netsparker的博客中所说。

“在类似的新开发项目中经常被忽视的一件事是从原始产品(即Internet Explorer)的多年小安全修复中获得的知识,”Albeniz写道。 “正是这些安全修复程序及其附带的知识在重新设计Web浏览器时可能会丢失。这可能解释了为什么Microsoft Edge是我发现的唯一容易受到此漏洞影响的浏览器。”

由于这个错误,骗子可以通过电子邮件将HTML文件作为附件发送给您。如果您在windows10的内置Mail应用程序中打开或预览该文件,该应用程序使用Edge显示HTML文件,该文件将立即能够从您计算机上所有其他与浏览器兼容的文件中读取和复制信息,例如文本文件,JPEG和GIF。

该文件可以将收集的任何信息发送到远程服务器。它不一定是一个复杂的文件 - Albeniz的概念验证恶意文件包含19行,总计931千字节。

那你觉得呢?好吧,很多人在桌面上保存的文本文件中记下密码,银行帐号和其他重要信息。 Albeniz发布了一个视频,展示了攻击是如何发生的。

“可能没有防病毒程序会将我的文件识别为恶意文件,我可以通过安全的HTTPS连接提取文件,”Albeniz指出。 “这就是让这次袭击变得如此隐秘的原因。”

相关文章