Microsoft отказывается исправлять уязвимость в Microsoft Edge

Однако, в то время как Google и Apple очень оперативно исправили данную уязвимость, Microsoft считает, что обновление не требуется, потому что условия ее раскрытия были созданы искусственно.

Уязвимость, описанная идентификаторами CVE-2017-5033 и CVE-2017-2419, существует в старых версиях Google Chrome и Apple Safari. Чтобы оставаться в безопасности нужно обновиться до Chrome 57.0.2987.98 или выше, Safari 10.1 и iOS 10.3. Что касается Microsoft Edge, то ошибка была обнаружена в версии 40.15063, но без патча она сохраняется и в новых версиях веб-обозревателя.

Уязвимость раскрытия информации

Ошибка безопасности связана со способом обработки браузером страницы about:blank, который дает возможность проводить XSS атаки с целью раскрытия пользовательской информации. Уязвимости раскрытия информации не так важны, как уязвимости удаленного исполнения кода, но команда Talos предупреждает, что без патча конфиденциальные данные могут быть украдены, если злоумышленнику удается обойти политику безопасности контента (Content Security Policy), установленную сервером.

Группа экспертов Cisco Talos сообщает:

XSS-атаки, которые могут позволить злоумышленнику заполучить конфиденциальные данные и даже захватывать учетную запись пользователя, считаются серьезной проблемой. Политика безопасности контента специально разработана с учетом предотвращения атак XSS и позволяет серверу присваивать белые списки доверенным ресурсам для безопасного выполнения веб-браузером.

Неизвестно, изменится ли позиция Microsoft по данной уязвимости или патч так и не будет выпущен. Тем не менее, независимо от того, какой браузер вы используете, рекомендуется как можно скорее установить последнюю версию, чтобы снизить риск кибератак.