第178期安全事件


英文标题 Expert disclosed two Zero-Day flaws in Microsoft browsers
中文标题 研究者披露微软网络浏览器中两个零日漏洞
作者及单位 Pierluigi Paganini
内容概述
研究人员披露了微软网络浏览器中两个零日漏洞的详细信息并发布了概念验证。其中一个漏洞影响最新版本的 Edge 浏览器,远程攻击者可利用漏洞绕过受害者网络浏览器上的同源策略,执行通用跨站脚本(UXSS)攻击。攻击者只需要欺 骗受害者访问一个恶意网站,就可以从同一浏览器上访问过的其他网站窃取受害者的敏感数据。问题出在 Microsoft 浏览器 中的资源计时条目中,这些条目在重定向后泄漏了跨源 URL。研究人员十个月前向微软报告了这些漏洞,但微软尚未有回应。
新闻链接
https://securityaffairs.co/wordpress/83080/hacking/microsoft-browser-zero-day.html