A Microsoft disponibilizou durante a semana passada uma nova atualização para o Edge que pretendia corrigir duas falhas de segurança sobre o navegador, e hoje conhece-se mais detalhes sobre exatamente quais eram essas falhas.
As falhas encontravam-se diretamente associadas com o Edge, e se fossem exploradas poderiam permitir a utilizadores maliciosos executarem código malicioso no navegador e potencialmente no sistema onde este se encontra. Uma das falhas encontra-se associada com o sistema de tradução integrado no Edge, conhecido como Microsoft Translator.
Descoberta pelo investigador de segurança Ignacio Laurence e juntamente com investigadores Vansh Devgan e Shivam Kumar Singh da empresa CyberXplore Private Limited, esta falha poderia permitir a realização de um ataque XSS, que quando executado permitiria executar código no navegador – com potencial para roubar informações do site onde o utilizador se encontrava.
Além disso, a falha poderia ainda ser explorada para contornar algumas das seguranças do navegador, permitindo levar os utilizadores a descarregar conteúdo malicioso para o sistema.
O pior encontra-se no facto que estas falhas poderiam ser exploradas simplesmente pelas vítimas acederem a conteúdos maliciosos na web, e nem necessitavam de propriamente receber nada diretamente no Edge ou executar qualquer género de conteúdo. Num dos exemplos demonstrados pelos investigadores o código malicioso encontrava-se sobre um perfil do Facebook, que quando enviava um pedido de amizade, poderia comprometer o navegador apenas pela vítima aceder ao mesmo.
A Microsoft corrigiu a falha com o Edge a 24 de Junho, tendo lançado a versão 91.0.864.59 – sendo que esta e qualquer versão superior encontram-se protegidas desta falha.
Nenhum comentário
Seja o primeiro!