В Microsoft Edge обнаружилась серьезная уязвимость. Она позволяет злоумышленникам похитить пароли и куки-файлы с компьютера пользователя, чтобы получить доступ к его учетным записям на Facebook и Twitter.
Как ни странно, такую возможность атакующим дает встроенный в браузер механизм безопасности – правило ограничения домена (Same Origin Policy, SOP). Эта технология должна предотвращать доступ к данным, использованным на одном домене, через другой домен.
Однако в Microsoft Edge данная защита реализована неэффективно, и обнаруженная на этот раз уязвимость является уже третьей по счету. Более того, две ранее выявленных уязвимости до сих пор не устранены. А найденная третья действует еще эффективнее, чем предыдущие.
Специалист по безопасности Мануэль Кабальеро (Manuel Caballero), открывший новую уязвимость, связывает неэффективность защиты Microsoft Edge с тем, что браузер получает обновления гораздо менее регулярно и оперативно, чем Google Chrome и Mozilla Firefox, поскольку обновляется только вместе с операционной системой.
Некоторое время назад появились сообщения о том, что с выходом Redstone 3 планируется «отвязать» обновления Microsoft Edge от обновлений Windows 10 и сделать их более частыми, как у конкурирующих браузеров. Однако на конференции Build 2017 компания Microsoft опровергла эту информацию, заявив, что на ближайшее будущее таких планов не имеет, хотя исключать такую возможность не собирается.
