Minden hónapban a nagyvállalatok gyakran kiadnak frissítéseket, hogy tovább javítsák az eszközök teljesítményét. De kihasználják az alkalmat arra is, hogy megoldják az útközben észlelt összes biztonsági problémát, a felhasználók mindenkori védelme érdekében. Néhány évvel ezelőtt a Google létrehozta a Project Zero nevű kutatócsoportot az alkalmazások és az operációs rendszerek biztonsági hibáinak felderítése. Ezeket a hibákat gyorsan közlik a szóban forgó gyártóval, 90 napos mozgásteret biztosítva a javításra, mielőtt hivatalossá tennék, ez a helyzet veszélyezteti a felhasználókat, mivel a kívülről érkező barátok kihasználhatják őket a felhasználói információk megszerzésében.
A Google politikáját félretéve ez a két biztonsági rés nulla nap, vagyis azok a sebezhetőségek Az alkalmazás létrehozása óta ott vannak, és a fejlesztő nem észlelte őket amikor létrehozom az alkalmazást vagy az operációs rendszert, így az érintett alkalmazások vagy rendszerek támadásra hajlamosak voltak és továbbra is hajlamosak a probléma kijavításáig.
A Project Zero szerint ezt a biztonsági rést nagyon könnyű kihasználni, mivel csak 17 sor HTML kódra van szükség, amelyek az rcx és rax változókra összpontosulnak, ami lehetővé tenné, hogy a kívülről érkező barátok irányítsák a böngészőnket, és így képesek legyenek hozzáférés az Internet Explorer vagy a Microsoft Edge alkalmazásban elmentett felhasználónevekhez és jelszavakhoz.
Ezúttal az érintett böngészők az Internet Explorer és a Microsoft Edge voltak. Amint azt a cikk elején említettem, a Project Zero arra kényszerült, hogy tájékoztassa a felhasználókat erről a biztonsági résről, mivel eltelt az a 90 szabályozási nap, amelyet a probléma megoldására ajánlott fel a Microsoftnak. Amint arról az MSPowerUser beszámolt, a böngészőnk által irányított támadások elkerülésének legjobb módja, úgy futtatni a böngészőket, mintha vendégfelhasználók lennénk, vagyis bármiféle kiváltságok nélkül.