O investigador, James Lee, optou por divulgar a falha depois da Microsoft não ter abordado as vulnerabilidades de dia zero.
Segundo o investigador, ele comunicou as falhas à Microsoft há dez meses atrás, mas a empresa não respondeu à divulgação das falhas.
Uma das falhas afeta a versão mais recente do Edge Browser, ambas as falhas podem ser exploradas por um atacante remoto para contornar same-origin policy do navegador da vítima.
Same Origin Policy (SOP) is a security mechanism that is implemented in modern browsers, the basic idea behind the SOP is the javaScript from one origin should not be able to access the properties of a website on another origin. A SOP bypass occurs when a sitea.com is somehow able to access the properties of siteb.com such as cookies, location, response etc.
A vulnerabilidade do dia zero descoberta por James Lee pode ser explorada por atacantes para criar um site mal-intencionado para realizar ataques universal cross-site scripting (UXSS) contra qualquer domínio visitado pela vítima usando o navegador da Microsoft.
O atacante apenas precisa enganar as vítimas de forma a elas visitarem um site malicioso criado para roubar dados confidenciais(por exemplo, sessão de login, cookies) de outros sites visitados no mesmo navegador.
“The issue is within Resource Timing Entries in Microsoft Browsers which inappropriately leak Cross-Origin URLs after redirection,” Lee told The Hacker News in an email.
Lee também lançou exploits de prova de conceito (PoCs) para ambas as vulnerabilidades.
Other PoCs for Microsoft Edge and Internet Explorer.
Internet Explorer: https://t.co/fI5N7NcPMS
Microsoft Edge: https://t.co/XNGthqQnYk
Thanks to @garethheyes for spotting the different observed result on Microsoft Edge.
— James Lee (@Windowsrcer) March 29, 2019
A disponibilidade do código de exploração pode permitir que agentes de ameaças explorem as vulnerabilidades de dia zero massivamente colocando em risco os utilizadores do popular navegador.