Cuidado, é possível roubar passwords e cookies do Edge

Os browsers estão constantemente expostos na Internet, permitindo que os atacantes procurem explorar as suas vulnerabilidades e as suas falhas.

No Edge, o mais recente browser da Microsoft, foi descoberta uma nova vulnerabilidade, que permite que sejam roubadas as passwords do utilizador e os cookies que foram guardados.

Esta nova falha do Edge foi descoberta pelo investigador de segurança Manuel Caballero, que mostrou que é simples e muito rápido a qualquer atacante obter as passwords de qualquer utilizador deste browser. Para além desta informação, é igualmente possível obter os cookies que os sites guardam nos browsers.

Estando na posse destes dados, é possível ao atacante aceder a todos os sites que o utilizador visitou, mesmo os que requerem autenticação, deixando-o exposto e vulnerável.

Para obter estes dados é necessário apenas explorar uma falha na implementação da Same Origin Policy que foi feita pela Microsoft. Esta medida pretende impedir que os sites explorem os dados que foram gerados por outros, mas, do que se sabe agora, esta não foi feita de forma correta.

Para piorar a situação, e segundo Manuel Caballero, esta falha não é nova e existem já duas formas diferentes de a explorar. Ambas são bem conhecidas pela Microsoft e estão ainda por resolver.

Mas a nova forma, descoberta por este investigador de segurança, mostra-se tão eficiente como as restantes, com a particularidade de ser mais simples e mais rápida de implementar, sendo por isso mais perigosa.

Esta é mais uma falha a adicionar à lista das que recentemente foram descobertas em produtos Microsoft. Depois de um dia de grande confusão, graças a um ataque que explorava uma falha no Windows, surge mais uma, desta vez no browser que a Microsoft quer que os seus utilizadores usem como o predefenido.