Microsoft zal een informatielek in Edge waardoor aanvallers vertrouwelijke informatie kunnen achterhalen niet patchen. Apple en Google hebben het probleem in hun browsers wel verholpen, zo laat Cisco weten. De kwetsbaarheid bevindt zich in de manier waarop Edge de Content Security Policy handhaaft. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen.
Via een kwaadaardige pagina kan een aanvaller in het geval van Edge het beleid dat via CSP op een server is ingesteld omzeilen en zo een informatielek veroorzaken. Microsoft werd vorig jaar op 29 november door Cisco ingelicht maar liet in maart van dit jaar weten dat het hier niet om een kwetsbaarheid gaat maar een ontwerpkeuze. Er zal dan ook geen patch verschijnen.
Cisco erkent dat informatielekken niet zo ernstig zijn als kwetsbaarheden waardoor een aanvaller willekeurige code kan uitvoeren. Via cross-site scripting is het echter mogelijk om vertrouwelijke informatie te stelen en zelfs gebruikersaccounts over te nemen. De netwerkgigant adviseert gebruikers dan ook om voor een browser te kiezen die CSP ondersteunt en up-to-date blijft met nieuw ontdekte beveiligingslekken, waaronder informatielekken zoals in dit geval.
Deze posting is gelocked. Reageren is niet meer mogelijk.