Đoạn video mô tả chi tiết cách khai thác lỗ hổng để lấy cookies và mật khẩu dịch vụ
Theo trang OnMSFT đưa tin, nhà nghiên cứu bảo mật Manuel Caballero đã bất ngờ phát hiện ra một lỗ hổng mới trong dòng mã của Microsoft Edge. Lỗ hổng này vô tình tạo điều kiện cho các hacker có thể đánh cắp mật khẩu và dữ liệu cookies từ trình duyệt, thậm chí can thiệp vào nhiều tài khoản dịch vụ như Facebook hay Twitter.
Theo Manuel Caballero, nguyên nhân bắt nguồn từ vấn đề với Same Origin Policy (SOP) trong trình duyệt Microsoft Edge. Đây là một biện pháp bảo mật nhằm ngăn chặn truy cập và sử dụng dữ liệu trên cùng một tên miền từ một tên miền khác. Tuy vậy trên thực tế, tính năng SOP không hoạt động ổn định như Microsoft mong muốn. Điều này dẫn tới việc các dữ liệu cookies hay mật khẩu có thể bị đánh cắp dễ dàng.
Tệ hơn nữa, trước đó đã có hai phát hiện về vấn đề này nhưng chưa được Microsoft vá trong các bản cập nhật Windows mới nhất. Ông chỉ ra rằng, chu kỳ vá lỗi của Microsoft Edge khác biệt so với các trình duyệt như Google Chrome hay Firefox, và điều đó đã dẫn tới sự chậm trễ.
Caballero đã đăng tải một đoạn video trên YouTube mô tả cách khai thác lỗ hổng để lấy các dữ liệu như mật khẩu, cookies của tài khoản Twitter hay Facebook dễ dàng.
Phát hiện trên của nhà nghiên cứu Caballero xuất hiện không lâu sau khi nhóm chuyên săn lùng lỗ hổng Project Zero của Google bất ngờ phát hiện một lõ hổng khá nặng trên Windows 10. Lỗi này hiện cũng đã được sữa chữa sau đó. Tuy nhiên hiện Microsoft chưa đưa ra lời bình luận nào về lỗ hổng mới xuất hiện trên Microsoft Edge.