freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

谷歌研究人员发现Microsoft Edge新漏洞CVE-2018-8235,或泄露敏感信息
2018-06-25 14:54:55

日前,Google研究人员Jake Archibald在微软Edge浏览器中发现了一个严重漏洞,它被追踪为CVE-2018-8235,该漏洞被称为“Wavethrough”,远程攻击者可以利用该漏洞绕过同源策略(SOP)限制,来获取敏感数据。

图片2.png

“当Microsoft Edge不正确地处理不同来源的请求时,存在一个安全功能绕过漏洞。” 微软公布了安全通报。“该漏洞允许Microsoft Edge绕过同源策略(SOP)限制, 成功利用此漏洞的攻击者可强制浏览器发送数据。”

如果媒体元素使用Range标头发出“拒绝服务” 请求,fetch()将删除标头,因为它在“拒绝服务” 请求中是不允许的,“拒绝服务” 请求通过cookie发送并接收响应,一些API可能会访问这些响应中的数据,导致泄露。

Archibald通过基于特制网站的攻击场景发现FireFox的 beta 、nightly 版本和Edge浏览器都可能发生此错误,目前已针对该漏洞提出修复措施,FireFox和Edge浏览器也在其最新版本中修复了该漏洞。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者