快修补! 微软Edge浏览器有本机资料窃取漏洞

安全研究人员发现，微软Edge 浏览器出现可让骇客窃取本机资料的漏洞，不过微软已经修补本项漏洞。

这个漏洞是由安全公司Netsparker研究员Ziyahan Albeniz发现。这个漏洞出在浏览器中的同源政策（Same Origin Policy）。所谓同源是指主机名、协定、传输埠相同。不同源的客户端脚本，像Javascript、ActionScript在没明确授权的情况下，不能读写对方客户端的资源。今日多数浏览器都会实作这个安全政策，因此浏览器不允许从https://attcker.xn--com-kb0er53oyyk908b AJAX 呼叫电脑上的file://c/your/stuff.txt档案。

但file//协定相当特殊；两个file:// URL的传输埠、主机名称和协定都一样。因此，如果浏览器未加入封锁file://存取的规则，则使用者点选内含某个档案路径的HTML档，就可能导致电脑某个资料夹的档案被人读取、下载或执行。

这类窃取文件的最好方法是网钓邮件，骗取使用者下载及执行恶意HTML档案。Albeniz测试后证实，除了Edge之外，微软Windows 邮件（Mail）及行事历（Calendar） app也都可以执行外部传来的HTML档案。

这类网钓窃密法无法造成大规模布署，但可用以窃取公司高层或官员的机密资讯。研究人员指出，虽然攻击者需要知道目标档案的储存位置，但一般OS和app组态、储存路径大概都差不多，可以推测档案的所在地。

微软已经在七月中的每月安全更新中，修补Edge的该项漏洞。除了更新到最新版本的Edge、邮件和行事历程式外，研究人员也呼吁用户不要随意开启来路不明或奇怪的HTML档案。