Web browserul Edge, afectat de un bug care permitea folosirea unui site compromis pentru a extrage informaţii din alte tab-uri deschise

Demonstrată în urmă cu mai mult timp în cadrul iniţiativei Google Project Zero, vulnerabilitatea corectată cu ultimul set de patch-uri distribuite prin serviciul Windows Update putea fi exploatată pentru atacuri indirecte, în care simpla vizitare a unui website compromis permitea unui atacator să citească email-uri şi date introduse pe alte website-uri legitime, deschise la momentul respectiv în tab-uri Microsoft Edge.

Potrivit explicaţiilor furnizate chiar de Microsoft, vulnerabilitatea numită Wavethrough se manifesta prin modul incorect în care browserul Edge gestiona solicitări cu origini diferite pentru furnizarea de informaţii. Concret, vulnerabilitatea permitea ocolirea restricţiilor SOP (Same-Origin Policy), browserul onorând solicitări care altfel ar fi fost ignorate.

Simultan, Microsoft a fost informat şi de o altă vulnerabilitate, evaluată de experţii Google cu risc de securitate ridicat. Aceasta a fost însă tratată de Microsoft doar cu indicativul „Important”, corectarea sa nefiind considerată o urgenţă imediată. Localizată într-o componentă a sistemului de operare numită Windows Storage Services, responsabilă cu gestionarea transferurilor de fişiere şi operaţiuni care ţin de stocarea datelor la nivelul întregului OS, vulnerabilitatea ar putea facilita accesarea neautorizată de informaţii pentru aplicaţii care nu dispun de privilegiile necesare. Încă neremediat, bug-ul care afectează exclusiv sistemul Windows 10 este, potrivit explicaţiilor furnizate de Microsoft, mai puţin periculos, exploatarea sa nefiind posibilă de la distanţă.