మైక్రోసాఫ్ట్ యొక్క ఎడ్జ్ సేమ్-ఆరిజిన్ పాలసీ (SOP) లోపం స్థానికంగా నిల్వ చేసిన ఫైళ్ళ నుండి సమాచారాన్ని దొంగిలించడానికి హ్యాకర్లను అనుమతించవచ్చు.

మైక్రోసాఫ్ట్ ఎడ్జ్ వెబ్ బ్రౌజర్. లెసోయిర్

నెట్‌స్పార్కర్ యొక్క భద్రతా పరిశోధకుడు జియాహాన్ అల్బెనిజ్, మైక్రోసాఫ్ట్ యొక్క ఎడ్జ్ బ్రౌజర్‌లో హానిని కనుగొన్నారు, ఇది మాల్వేర్ వ్యాప్తికి అనుమతించింది. అతను తన ఫలితాలను ప్రచురించాడు CVE-2018-0871 ( సివిఎస్ఎస్ 3.0 బేస్ స్కోరు 4.3) తన నివేదికలో “ ఫైళ్ళను దొంగిలించడానికి మైక్రోసాఫ్ట్ ఎడ్జ్ దుర్బలత్వాన్ని ఉపయోగించుకోవడం . '

సేమ్-ఆరిజిన్ పాలసీ ఫీచర్-సంబంధిత లోపం నుండి దుర్బలత్వం బయటకు వచ్చిందని అల్బెనిజ్ వివరించారు. దోపిడీ చేసినప్పుడు, ఫిషింగ్ మరియు ఇన్ఫర్మేషన్ స్టీలింగ్ దాడులను చేయగల మాల్వేర్ను వ్యాప్తి చేయడానికి హానిని ఉపయోగించవచ్చు. ఈ ఛానెల్ ద్వారా మాల్వేర్ వ్యాప్తికి గొప్ప అంశం హానికరమైన ఫైల్‌ను డౌన్‌లోడ్ చేయడంలో యూజర్ యొక్క స్వంత ఇన్‌పుట్. అందువల్లనే దుర్బలత్వం పెద్ద ఎత్తున దోపిడీకి గురికాదు మరియు అందువల్ల చాలా బ్రౌజర్ భద్రతా లోపాల కంటే తక్కువ ప్రమాదం ఉంది.

సేమ్-ఆరిజిన్ పాలసీ ఫీచర్ అనేది వెబ్ అప్లికేషన్ సెక్యూరిటీ మోడల్, ఇది వాస్తవంగా అన్ని ఇంటర్నెట్ బ్రౌజర్‌లలో ఉపయోగించబడుతుంది. వెబ్ పేజీలు ఒకే డొమైన్, ప్రోటోకాల్ మరియు పోర్ట్‌కు చెందినంతవరకు ఇది ఒక వెబ్ పేజీలోని స్క్రిప్ట్‌లను మరొకటి డేటాను యాక్సెస్ చేయడానికి అనుమతిస్తుంది. ఇది వెబ్ పేజీల క్రాస్-డొమైన్ ప్రాప్యతను నిరోధిస్తుంది, అనగా మీరు మరొక ట్యాబ్‌లో లాగిన్ అయి ఉంటే లేదా మీరు లాగ్ అవుట్ చేయడం మరచిపోయినట్లయితే హానికరమైన వెబ్‌సైట్ మీ బ్యాంక్ ఖాతా ఆధారాలను యాక్సెస్ చేయదు.

హానికరమైన HTML ఫైల్‌ను డౌన్‌లోడ్ చేసి, వారి కంప్యూటర్‌లో అమలు చేయడానికి వినియోగదారు మోసపోయినప్పుడు SOP భద్రతా విధానం విఫలమయ్యే సందర్భం. ఫైల్ స్థానికంగా సేవ్ చేయబడిన తర్వాత, అది “ఫైల్: //” ప్రోటోకాల్‌లో లోడ్ అవుతుంది, దీనిలో సెట్ డొమైన్ లేదా పోర్ట్ సంఖ్య లేదు. SOP వెబ్ పేజీలు ఒకే డొమైన్ / పోర్ట్ / ప్రోటోకాల్‌పై మాత్రమే సమాచారాన్ని యాక్సెస్ చేయగలవు కాబట్టి, అన్ని ఇతర స్థానిక ఫైళ్లు “ఫైల్: //” ప్రోటోకాల్‌లో కూడా లాంచ్ అవుతాయి కాబట్టి, డౌన్‌లోడ్ చేసిన హానికరమైన HTML ఫైల్ స్థానిక సిస్టమ్‌లోని ఏదైనా ఫైల్‌ను యాక్సెస్ చేసి దొంగిలించగలదు దాని నుండి డేటా.

ఈ మైక్రోసాఫ్ట్ ఎడ్జ్ SOP దుర్బలత్వం లక్ష్యంగా మరియు ఖచ్చితమైన దాడులను చేయడానికి ఉపయోగపడుతుంది. ఉద్దేశించిన వినియోగదారు ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి మోసపోయిన తర్వాత, హ్యాకర్ వారి PC లోని సమాచారం ద్వారా స్నూప్ చేయవచ్చు మరియు అతను / అతను వెతుకుతున్న ఖచ్చితమైన సమాచారాన్ని దొంగిలించవచ్చు. ఈ దాడి స్వయంచాలకంగా లేనందున, వినియోగదారుని మరియు వినియోగదారు యొక్క తుది వ్యవస్థను తెలుసుకోవడం దాడిని సమర్థవంతంగా నిర్వహించడానికి సహాయపడుతుంది.

జిహయాన్ అల్బెనిజ్ ఈ దాడిని ప్రదర్శించే ఒక చిన్న వీడియోను రికార్డ్ చేశాడు. ఎడ్జ్, మెయిల్ మరియు క్యాలెండర్లలో ఈ దుర్బలత్వాన్ని ఉపయోగించుకోగలిగానని, కంప్యూటర్ నుండి డేటాను దొంగిలించి, మరొక పరికరంలో రిమోట్‌గా తిరిగి పొందగలనని అతను వివరించాడు.

మైక్రోసాఫ్ట్ తన ఎడ్జ్ బ్రౌజర్ కోసం ఒక నవీకరణతో వచ్చింది, ఇది ఈ హానిని పరిష్కరిస్తుంది. నవీకరణ మైక్రోసాఫ్ట్ ఎడ్జ్ యొక్క అన్ని సంబంధిత విండోస్ 10 వెర్షన్లకు ప్రచురించబడింది సలహా బులెటిన్. ఈ SOP దుర్బలత్వాన్ని పరిష్కరిస్తూ నవీకరణ విడుదల చేయబడినప్పటికీ, వినియోగదారులు తెలియని మూలాల నుండి స్వీకరించే HTML ఫైళ్ళ గురించి జాగ్రత్తగా ఉండాలని అల్బెనిజ్ ఇప్పటికీ హెచ్చరిస్తున్నారు. HTML అనేది మాల్వేర్ను వ్యాప్తి చేయడానికి ఉపయోగించే సంప్రదాయ ఫైల్ రకం కాదు, అందువల్ల ఇది తరచుగా సందేహించబడదు మరియు నష్టాన్ని కలిగిస్తుంది.