Microsoft Edge va IE’dagi zaifliklarning ekspluatatsiyalari e’lon qilindi.
Aniqlangan zaifliklar UXSS hujumini amalga oshirish imkoniyatini beradi.
Xavfsizlik bo’yicha tadqiqotchi Jeyms Li Microsoft Edge va Internet Explorer’dagi brauzerlarning Same Origin Policy (SOP)’ni chetlab o‘tish imkonini beruvchi ikkita zaiflik uchun konsepsiya isboti (PoC) kodlarini e’lon qildi. Kodni nashr etish to‘g‘risidagi qaror Microsoft hisobotni e’tiborsiz qoldirganidan keyin qabul qilindi.
Tadqiqotchi tomonidan aniqlangan zaifliklar UXSS (Universal Cross-Site Scripting) hujumiga imkon beradi. UXSS – bu brauzer mantig’idagi kamchilik bo’lib, u hujumchiga istalgan veb-saytda JavaScript-ni ishga tushirish imkonini beradi.
Zaiflikdan muvaffaqiyatli foydalanish uchun tajovuzkor shunchaki jabrlanuvchini zararli veb-saytni ochishga ishontirishi kerak bo’ladi. Li tushuntirganidek, muammo Resource Timing API’si qayta yo’naltirishdan keyin ko’rsatilgan domenlarning manzillarini oshkor qilishidan kelib chiqadi.
Mutaxassis Microsoft kompaniyasiga zaiflik haqida deyarli bir yil oldin xabar bergan edi, ammo kompaniya javob bermadi. Natijada, muammo bugungi kungacha hal qilinmagan.
Bir xil kelib chiqish siyosati – bu zamonaviy brauzerlarda bir xil saytdagi veb-sahifalar bilan o’zaro aloqada bo’lish imkonini beruvchi va shu bilan birga bog’liq bo’lmagan resurslarning aralashuvini oldini oluvchi xavfsizlik xususiyati.
