Реакция Microsoft на опубликование РоС-эксплоитов для уязвимостей в Edge и lE
Уже прошло больше недели после того, как в сети появились опубликованные данные Джеймсом Ли, раскрывающие уязвимости популярных среди пользователей браузеров Edge и Internet Explorer. ИБ-специалистом были обнаружены две большие недоработки, касающиеся обхода same-origin policy (SOP). Это вместе с UXSS дает возможность вирусному ресурсу, открытому в вашем браузере, получить не только конфиденциальную информацию о жертве, но и обо всех посещаемых ею ранее ресурсов.
Ведущие специалисты Trend Micro уже изучили эксплоиты, обнаруженные Ли программные слабые места.Проведенные исследования позволили полностью удостовериться в опасности вредоносных ресурсов и их возможности извлекать любую информацию, которая хранится в URL посещаемых ресурсов. Чаще всего этомогут быть sessionIDs юзернеймы, куки, токены OAUTH, пароли. При этом совершенно не имеет значение, размещаются они в форме хэш-тегов или в открытом виде.
Джеймсон Ли уведомил компанию Microsoft об обнаруженных уязвимостях незамедлительно. Произошло это больше 10 месяцев назад, но патчей для их устранения или минимизации влияния компания так и не предоставила. Исследователь отметил, что официального ответа он не получил, сообщение было просто проигнорировано. С этого можно сделать вывод, что пользователям исправлений ждать не приходится.
Первые официальные реакции и комментарии от представителей Microsoft появились только после того, как о проблеме заговорили в сети во всеуслышание. Из официальной позиции компании ясно, что никакие действия предприниматься не будут. В сообщении, процитированном издательством SecurityWeek, идет речь о том, что уязвимости не требуют исправления, так как злоумышленникам для совершения преступных действий (в данном случае интернет атаки) нужно сначала повлиять на пользователя, заставив его посетить вредоносный сайт. Но даже после удачной атаки полученная информация, это не личные пользовательские данные, а URL посещаемых интернет-страниц.
Представители Microsoft поспешили сообщить, что политика компании всегда направлена на призыв к пользователям развивать в себе правильные привычки и беспрекословно им следовать в сети. Юзерамнужно осмотрительно открывать файлы с не проверенных источников, кликать по ссылкам, принимать запросы на загрузку и передачу файлов.