2016-12-13 16:24:10

Otkrivena ranjivost web preglednika Microsoft Edge

Stručnjak za web sigurnost, Manuel Caballero, otkrio je ranjivost u sigurnosnoj značajki "SmartScreen" unutar web preglednika Microsoft Edge, koji dolazi s instalacijom Windows 10 OS-a. Navedena značajka napadačima omogućuje prikaz lažnih poruka upozorenja za bilo koju internetsku domenu, kao što su Google, Facebook ili neki drugi popularni servis. Nadalje, prevaranti uz ta lažna upozorenja također mogu prikazati prilagođeni tekst, kojim potiču žrtvu na pozivanje brojeva tehničke podrške gdje ih operateri pozivnog centra mogu navesti na plaćanje nepotrebne usluge. Caballero je postavio demo stranicu koja pokazuje kako bilo tko može generirati svoju vlastitu lažnu poruku upozorenja unosom domene po izboru i proizvoljnog teksta poruke. Inače, Edge te poruke upozorenja pohranjuje kao podatak u instalacijskoj mapi samog preglednika. Također, Caballero je dodatno otkrio i način kako lažirati prikaz URL-a u adresnoj traci, kako bi korisnici mislili da su na ispravnoj domeni. Ovakva je ranjivost vrlo vrijedna za tzv. "scammere", koji mogu prikriti svoje zlonamjerne kampanje iza autentičnog URL-a. Trenutno ova ranjivost nema zakrpu, jer je Caballero nije prijavio iz razloga što je Microsoft i ranije ignorirao neke njegove prijašnje prijave. Više tehničkih detalja može se vidjeti na stranici Caballerovog internetskog dnevnika.


Osnovna škola Jakovlje