ทุกเดือน บริษัท ใหญ่ ๆ มักจะออกการอัปเดตเพื่อปรับปรุงประสิทธิภาพของอุปกรณ์ต่อไป แต่พวกเขายังใช้โอกาสนี้ในการแก้ไขปัญหาด้านความปลอดภัยทั้งหมดที่ตรวจพบระหว่างทางเพื่อให้ผู้ใช้ได้รับการปกป้องตลอดเวลา ไม่กี่ปีที่ผ่านมา Google ได้สร้าง Project Zero ซึ่งเป็นทีมวิจัยที่ทุ่มเทให้กับ ตรวจจับข้อบกพร่องด้านความปลอดภัยทั้งในแอปพลิเคชันและระบบปฏิบัติการ. ความล้มเหลวเหล่านี้ได้รับการสื่อสารอย่างรวดเร็วไปยังผู้ผลิตที่มีปัญหาโดยให้ระยะเวลา 90 วันในการแก้ไขก่อนที่จะทำให้เป็นทางการตำแหน่งที่เป็นอันตรายต่อผู้ใช้เนื่องจากเพื่อนจากภายนอกสามารถใช้ประโยชน์จากพวกเขาเพื่อรับข้อมูลผู้ใช้
การละทิ้งนโยบายของ Google ช่องโหว่ทั้งสองนี้เป็นศูนย์วันกล่าวคือช่องโหว่ดังกล่าว พวกเขาอยู่ที่นั่นตั้งแต่แอปพลิเคชันถูกสร้างขึ้นและไม่ได้รับการตรวจพบโดยนักพัฒนา เมื่อฉันสร้างแอปพลิเคชันหรือระบบปฏิบัติการดังนั้นแอปพลิเคชันหรือระบบที่ได้รับผลกระทบจึงยังคงถูกโจมตีต่อไปจนกว่าปัญหาจะได้รับการแก้ไข
ตาม Project Zero ช่องโหว่นี้ง่ายมากที่จะใช้ประโยชน์เนื่องจากต้องใช้โค้ด HTML 17 บรรทัดโดยมุ่งเน้นไปที่ตัวแปร rcx และ rax ซึ่งจะช่วยให้เพื่อนจากภายนอกสามารถควบคุมเบราว์เซอร์ของเราและทำให้สามารถ เข้าถึงชื่อผู้ใช้และรหัสผ่านที่เราบันทึกไว้ใน Internet Explorer หรือ Microsoft Edge
คราวนี้เบราว์เซอร์ที่ได้รับผลกระทบคือ Internet Explorer และ Microsoft Edge ดังที่ฉันได้กล่าวไว้ในตอนต้นของบทความนี้ Project Zero ถูกบังคับให้แจ้งให้ผู้ใช้ทราบเกี่ยวกับช่องโหว่นี้ตั้งแต่ 90 วันตามกฎข้อบังคับที่ได้เสนอให้ Microsoft แก้ไขปัญหานี้ได้ผ่านไปแล้ว ตามรายงานของ MSPowerUser วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีบางประเภทที่เบราว์เซอร์ของเราควบคุม คือการเรียกใช้เบราว์เซอร์ราวกับว่าเราเป็นผู้ใช้ทั่วไปนั่นคือไม่มีสิทธิพิเศษใด ๆ