微软Edge浏览器被曝存在严重安全漏洞

随着Windows 10创作者版本的发布，微软已经付出了很大的努力，使微软Edge浏览器更加安全，但现在看起来安全漏洞仍然存在，更糟糕的是，微软并不热衷于修复这些安全漏洞。最新的安全漏洞是由康众智防（微信公众号：kznsdi）网络安全实验室发现的，他们的研究员在微软Edge的同一起源策略（SOP）中遇到了一个错误，使得黑客不仅可以控制一些服务，如Twitter，而且还可以窃取受害者的密码。

在最近发表的研究报告中，安全专家解释称，SOP中的错误（本质上是阻止网站访问另一个网站管理的数据的安全功能）允许恶意代码执行，包括受害者首先点击一个恶意链接。数据统一资源标识符（URI），元刷新标签和“关于：空白”页面被用于成功的利用，在一种情况下，安全研究人员设法在Bing上执行恶意代码，然后窃取用户的Twitter帐户代表他发布。

成功的攻击使用边缘密码管理器，用户正在使用边缘密码管理器来保存密码，并在连接到受信任的网站时自动将其插入登录表单。安全专家警告称，使用受损的链接，攻击者可能会窃取密码。乍一看，这听起来很简单，成功的利用需要受害者点击受损网站，所以你应该做的第一件事情是保护他们，避免点击不受信任的链接。安全研究人员说，漏洞可能被包括

微软尚未修补漏洞，而在上述来源的声明中，该公司提供了关于是否计划提供修复的相当模糊的细节。下一个补丁周二将于5月9日发生，这是Edge边缘漏洞补丁有可能被推送到Windows客户端到期的日期。