Edge 浏览器有缺陷 可导致本地文件被盗

翻译：360代码卫士团队

微软修复了 Edge 浏览器中可窃取用户本地文件的漏洞。不过好在利用该漏洞需要使用社工技术，因此攻击无法大规模自动实施，因而对终端用户造成的危险也有所降低。

Netsparker 公司的研究员 Ziyahan Albeniz 发现了这个漏洞，它和受所有浏览器支持的同源策略 (SOP) 安全功能有关。

在 Edge 和其它所有浏览器中，SOP 阻止攻击者从域名（子域名）、端口和协议不匹配的链接中加载恶意代码。

Albeniz 表示，Edge 浏览器的 SOP 实现在一种情况下出现问题：即用户被诱骗下载并运行恶意 HTML 文件。当运行该 HTML 文件时，恶意代码将会通过 file:// protocol 加载；而且因为它是一个本地文件，因此不具有域名和端口值。也就是说这个恶意 HTML 文件包含的代码通过 file:// URL 访问的本地文件收集并窃取数据。

由于任何操作系统文件均可通过浏览器中的 file://URL 访问，因此这就导致攻击者能随意收集并窃取本地文件。

Albeniz 表示，在测试中他还能够从本地计算机中窃取数据并通过在 Edge、Mail 和 Calendar app 中执行文件的方式发送至远程服务器。

虽然攻击要求攻击者知道各种文件的存储位置，但在多数情况下，一些操作系统和app 的配置和存储文件都被存储在多数设备相同的位置。另外，某些文件的位置还可被推断或猜测出来。

这个漏洞可能对于大规模的恶意软件传播活动而言并没有作用，但在针对高价值目标的针对性攻击中就是另外一番景象了。

但是，虽然微软在最新的 Edge 和 Mail 以及 Calendar app 版本中解决了这个问题，但 Albeniz 仍然想警告用户关于运行从陌生人或邮件收到的 HTML 文件的危险性。

研究人员的警告不无道理，因为 HTML 文件通常和普通的恶意软件传播活动之间并不相关。

F-Secure 公司发布报告称，五种文件类型（ZIP、DOC、XLS、PDF 和7Z）就构成85%的邮件恶意附件。

研究人员在名为《利用微软 Edge 浏览器中的漏洞窃取文件》的论文中指出，“保护自己的唯一方式就是将 Edge 浏览器和 Windows Mail 以及 Calendar 应用更新至最新版本。当然，最好不要打开来自未知发件人的附件，即使附件扩展看似并非恶意。”

Albeniz 指出，这个 SOP 漏洞并不影响其它浏览器。他表示微软已在2018年6月的补丁星期二中修复了这个漏洞 (CVE-2018-0871)。

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-edge-flaw-lets-hackers-steal-local-files/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。