Опубликованы PoC к 0-day в Internet Explorer и Edge

Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленника. Результатом такой атаки может быть утечка конфиденциальных данных.

Как сообщил исследователь, проблема кроется в API Resource Timing, который некорректно обрабатывает кросс-доменные ссылки после переадресации. В результате злоумышленники могут обойти SOP-политику браузера и выполнить на странице одного сайта сценарий, размещенный в другом домене. Эксперт утверждает, что для эксплуатации уязвимостей достаточно заставить жертву посетить вредоносный ресурс. В этом случае нападающие получат доступ к файлам cookie, данным авторизации и другой информации об открытых в том же браузере сайтах.

По словам Ли, он сообщил о своей находке в Microsoft еще десять месяцев назад, однако разработчик проигнорировал проблему и до сих пор не выпустил патчи. В связи с отсутствием реакции производителя исследователь решил предать проблему огласке. Наличие брешей подтвердили несколько экспертов, протестировавших эксплойт на последних версиях Internet Explorer и Edge. Более того, один из них утверждает, что PoC работает также в мобильном варианте браузера Chrome.

Летом прошлого года стало известно о другом баге обхода правила ограничения домена в Edge. ИБ-специалист Зияхан Албениз (Ziyahan Albeniz) выяснил, что SOP браузера дает сбой при открытии локального HTML-документа, обращающегося к любому файлу на устройстве. Такая атака хотя и не являлась полноценным межсайтовым скриптингом, однако позволяла злоумышленнику похитить конфиденциальную информацию с компьютера жертвы.

В отличие от проблемы, найденной Ли, Microsoft отреагировала на сообщение исследователя и закрыла брешь, получившую идентификатор CVE-2018-0871, в рамках июньского комплекта патчей.

Источник: https://threatpost.ru/poc-for-internet-explorer-edge-0-days-published/32080/