Microsoft Edge浏览器似乎存在严重的密码漏洞。 最近的报告显示，攻击者或黑客可以轻松地获取在线帐户的用户密码和cookie文件，此漏洞是安全专家Manuel Caballero发现的，他是一个发现Edge和Internet Explorer错误和漏洞的丰富经验的人。

攻击者可以绕过Edge的SOP保护

该漏洞使攻击者可以使用数据URI，元刷新标记和无域页面（例如 about：blank） 加载并执行恶意代码。 这种利用技术具有多种变体，Caballero展示了黑客仅通过诱骗用户访问恶意URL即可在高知名度的网站上执行代码的方法。

Caballero展示了三个演示，其中他在Bing主页上执行代码，以另一个用户的名字发推文，并从Twitter帐户中窃取了密码和cookie文件。

上一攻击再次暴露了现代浏览器设计中的安全性错误：黑客具有注销用户，加载登录页面以及窃取通过浏览器 密码自动填充 功能自动填充的用户凭据的能力。

该漏洞仍未修复。 因此，Caballero提供了要下载的演示，以便用户可以检查源代码并确保未将密码和cookie上载到任何地方。

恶意攻击可自动进行攻击

似乎也可以定制攻击来转储更多在线服务（例如Amazon，Facebook等）的密码或cookie。 因为“ UXSS / SOP旁路往往是每个浏览器所特有的 ”， 所以 只有Edge会受到影响。

现代广告将JavaScript代码传递给浏览器，这就是为什么攻击者可以促进恶意广告活动，以自动将这一漏洞利用传递给大量受害者的原因。

有关更多信息，您可以阅读Caballero的问题技术说明。