Microsoft Edge 浏览器漏洞：允许黑客绕过 SOP 窃取用户私人信息

据外媒 11 日报道，布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略（ SOP ）漏洞，允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。

同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。（百度百科）

研究发现，攻击者除了冒充请求发送方进行 referrer 欺骗以外，还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外，由于 Edge 密码管理器具有自动填充功能 ，可以呈现一个通用代码片段，一旦用户使用默认密码管理器，黑客将能够快速窃取用户信息。

简而言之，只要密码输入框是从正确的源加载，Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。

安全专家提醒用户，SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。

原作者：Richard Chirgwin， 译者：青楚，译审：游弋
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接