மைக்ரோசாஃப்ட் எட்ஜ் வலை உலாவி. லெசோயர்
நெட்ஸ்பார்க்கரின் பாதுகாப்பு ஆராய்ச்சியாளரான ஜியாஹான் அல்பெனிஸ், மைக்ரோசாப்டின் எட்ஜ் உலாவியில் பாதிப்பைக் கண்டுபிடித்தார், இது தீம்பொருளைப் பரப்ப அனுமதித்தது. அவர் தனது கண்டுபிடிப்புகளை வெளியிட்டார் சி.வி.இ-2018-0871 ( சி.வி.எஸ்.எஸ் 3.0 அடிப்படை மதிப்பெண் 4.3) என்ற தலைப்பில் தனது அறிக்கையில் “ கோப்புகளைத் திருட மைக்ரோசாஃப்ட் எட்ஜ் பாதிப்பைப் பயன்படுத்துதல் . '
ஒரே தோற்றம் கொள்கை அம்சம் தொடர்பான குறைபாட்டிலிருந்து பாதிப்பு ஏற்பட்டது என்று அல்பெனிஸ் விளக்கினார். சுரண்டப்படும்போது, ஃபிஷிங் மற்றும் தகவல் திருடும் தாக்குதல்களை மேற்கொள்ளக்கூடிய தீம்பொருளைப் பரப்புவதற்கு பாதிப்பு பயன்படுத்தப்படலாம். தீங்கிழைக்கும் கோப்பைப் பதிவிறக்குவதில் பயனரின் சொந்த உள்ளீடே இந்த சேனலின் மூலம் தீம்பொருள் பரவுவதற்கு ஒரு சிறந்த காரணியாகும். இதனால்தான் பாதிப்பு வெகுஜன அளவில் சுரண்டப்படவில்லை, எனவே பெரும்பாலான உலாவி பாதுகாப்பு குறைபாடுகளைக் காட்டிலும் குறைவான ஆபத்தை ஏற்படுத்தியது.
ஒரே-தோற்றம் கொள்கை அம்சம் என்பது அனைத்து இணைய உலாவிகளிலும் பயன்படுத்தப்படும் ஒரு வலை பயன்பாட்டு பாதுகாப்பு மாதிரியாகும். வலைப்பக்கங்கள் ஒரே டொமைன், நெறிமுறை மற்றும் துறைமுகத்தைச் சேர்ந்திருக்கும் வரை ஒரு வலைப்பக்கத்தில் உள்ள ஸ்கிரிப்ட்களை இன்னொரு இடத்தில் தரவை அணுக இது அனுமதிக்கிறது. இது வலைப்பக்கங்களின் குறுக்கு-கள அணுகலைத் தடுக்கிறது, அதாவது நீங்கள் வேறொரு தாவலில் உள்நுழைந்திருந்தால் அல்லது நீங்கள் வெளியேற மறந்துவிட்டால் தீங்கிழைக்கும் வலைத்தளம் உங்கள் வங்கி கணக்கு நற்சான்றிதழ்களை அணுக முடியாது.
ஒரு தீங்கிழைக்கும் HTML கோப்பைப் பதிவிறக்கி அதை தங்கள் கணினியில் இயக்குவதில் ஒரு பயனர் ஏமாற்றப்படும்போது SOP பாதுகாப்பு வழிமுறை தோல்வியடைகிறது. கோப்பு உள்நாட்டில் சேமிக்கப்பட்டதும், அது “கோப்பு: //” நெறிமுறையில் ஏற்றப்படும், அதில் எந்த டொமைன் அல்லது போர்ட் எண்ணும் இல்லை. SOP வலைப்பக்கங்கள் மூலம் ஒரே டொமைன் / போர்ட் / நெறிமுறையில் மட்டுமே தகவல்களை அணுக முடியும் என்பதால், மற்ற எல்லா உள்ளூர் கோப்புகளும் “கோப்பு: //” நெறிமுறையில் தொடங்கப்படுவதால், பதிவிறக்கம் செய்யப்பட்ட தீங்கிழைக்கும் HTML கோப்பு உள்ளூர் கணினியில் உள்ள எந்த கோப்பையும் அணுகலாம் மற்றும் திருடலாம் அதிலிருந்து தரவு.
இந்த மைக்ரோசாஃப்ட் எட்ஜ் எஸ்ஓபி பாதிப்பு இலக்கு மற்றும் துல்லியமான தாக்குதல்களை மேற்கொள்ள பயன்படுத்தப்படலாம். ஒரு பயனர் கோப்பைப் பதிவிறக்குவதற்கும் இயக்குவதற்கும் ஏமாற்றப்பட்டவுடன், ஹேக்கர் தங்கள் கணினியில் உள்ள தகவல்களைத் தெரிந்துகொண்டு, அவர் / அவர் தேடும் சரியான தகவல்களைத் திருடலாம், எங்கு பார்க்க வேண்டும் என்று அவருக்குத் தெரிந்தால். இந்த தாக்குதல் தானியங்கி செய்யப்படாததால், பயனரையும் பயனரின் இறுதி அமைப்பையும் அறிந்துகொள்வது தாக்குதலை திறம்பட செயல்படுத்த உதவுகிறது.
இந்த தாக்குதலை நிரூபிக்கும் ஒரு குறுகிய வீடியோவை ஜிஹயான் அல்பெனிஸ் பதிவு செய்தார். எட்ஜ், மெயில் மற்றும் கேலெண்டரில் இந்த பாதிப்பைப் பயன்படுத்தவும், கணினியிலிருந்து தரவைத் திருடவும், தொலைதூரத்தில் மற்றொரு சாதனத்தில் மீட்டெடுக்கவும் அவரால் முடிந்தது என்று அவர் விளக்கினார்.
மைக்ரோசாப்ட் அதன் எட்ஜ் உலாவிக்கான புதுப்பிப்பை வெளியிட்டுள்ளது, இது இந்த பாதிப்பை சரிசெய்கிறது. புதுப்பிக்கப்பட்ட மைக்ரோசாஃப்ட் எட்ஜின் அனைத்து விண்டோஸ் 10 பதிப்புகளுக்கும் புதுப்பிப்பு கிடைக்கிறது ஆலோசனை புல்லட்டின். இந்த SOP பாதிப்பைத் தீர்க்க புதுப்பிப்பு வெளியிடப்பட்ட போதிலும், பயனர்கள் அறியப்படாத மூலங்களிலிருந்து பெறும் HTML கோப்புகளைப் பற்றி எச்சரிக்கையாக இருக்க வேண்டும் என்று அல்பெனிஸ் இன்னும் எச்சரிக்கிறார். HTML என்பது தீம்பொருளைப் பரப்புவதற்குப் பயன்படுத்தப்படும் வழக்கமான கோப்பு வகை அல்ல, அதனால்தான் இது பெரும்பாலும் சந்தேகத்திற்கு இடமின்றி சேதத்தை ஏற்படுத்துகிறது.
