سايت خبری فناوری اطلاعات (ايتنا) 27 مرداد 1397 ساعت 9:56 https://www.itna.ir/news/53805/آسیب-پذیری-مرورگر-اج -------------------------------------------------- عنوان : آسیب پذیری در مرورگر اج -------------------------------------------------- ایتنا - برنامه‌های Edge وWindows Mail and Calendar را به‌روزرسانی کنید و فایل‌های پیوست موجود در ایمیل‌های مشکوک را باز نکنید. متن : یک آسیب پذیری در مرورگر اج (Edge) کشف شده است که به مهاجم اجازه می دهد اطلاعات و فایل های کاربر را به سرقت ببرد. این نقص در نسخه ۴۰,۱۵۰۶۳.۰.۰ مرورگر مایکروسافت Edge بررسی و با موفقیت از آن بهره برداری شده است. به گزارش ایتنا از ایسنا، در مرورگرهای مدرن قابلیتی با نام سیاست منبع یکسانیاSOP (Same Origin Policy)وجود دارد که امکان دریافت اطلاعات تنها از منبع یکسان امکان پذیر است. برای مثال اجازه خواندن اطلاعات محلی در آدرسfile://C:/your/stuff.txt، هنگام مراجعه به آدرس مخربhttps://attacker.com وجود ندارد، زیرا پروتکل این دو منبع متفاوت است. برای خواندن داده های محلی رایانه، باید درخواست جاواسکریپتی با پروتکل، نامِ هاست و پورت یکسان ارسال شود که به دلیل تفاوت پروتکل (file:// وhttps://) امکان خواندن فایل های محلی وجود ندارد، اما در حالتی که پروتکل ها یکسان باشند، این روش حمله موفقیت آمیز خواهد بود. بر اساس اطلاعات سایت افتا، در صورت وجود پروتکل های یکسان، محتوای کد مخرب در فایلی با پسوندhtmlدر رایانه قربانی جاسازی می شود و قربانی با باز کردن فایلhtml( بدلیل یکی بودن پروتکلfile:// ) فایل های رایانه خود را در اختیار مهاجم قرار می دهد. مهاجم با ارسال فایلhtmlاز طریق ای میل و یا از طریق برنامهWindows Mail and Calendar، می تواند کاربر را وارد به باز کردن فایل مخرب کند. مایکروسافت با به روزرسانیEdgeو برنامهWindows Mail and Calendarاقدام به حل این آسیب پذیری کرده است، برای جلوگیری از نفوذ از این روش حمله، برنامه هایEdgeوWindows Mail and Calendarرا به روزرسانی کنید و فایل های پیوست موجود در ایمیل های مشکوک را باز نکنید.