https://www.youtube.com/watch?time_continue=117&v=l8HPDWFejVo
Un ricercatore indipendente ha scovato una vulnerabilità di Microsoft Edge che porta alla sottrazione dei dati personali dell’utente colpito tramite un solo file HTML.
La falla in Microsoft Edge
Il problema nasceva dalla cattiva gestione di Microsoft Edge dell’URI file://, che portava in seguito all’apertura di un file HTML e alla sottrazione dei dati personali con il caricamento su un server remoto. Sfruttare la falla non era dunque semplicissimo: bisognava convincere la vittima a scaricare il file HTML che, una volta aperto in locale, riusciva a superare il controllo same origin policy, usato da Edge per evitare di aprire risorse provenienti da sorgenti sconosciute. In seguito all’attacco, i file personali dell’utente venivano mandati su un server remoto, mostrando a video addirittura il contenuto dei suddetti file.
Come anticipato, il problema è stato prontamente risolto dal team di Microsoft; con le patch di sicurezza di giugno 2018, è stata modificata la gestione dell’URI file:// da parte di Microsoft Edge. Vi invitiamo dunque ad aggiornare costantemente il vostro PC per evitare di incorrere in questo genere di problemi.
Ecco uno dei vantaggi di usare Microsoft Edge invece di Chrome, Firefox e altri browser
Cosa ne pensate di questo attacco? Avete ricevuto e-mail di spam contenenti file html? Fatecelo sapere lasciando un commento.
Articolo di Windows Blog Italia
Fonte | netsparker