Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Microsoft Edge

Microsoft Edge

Google, Microsoft Bisa Mendapatkan Kata Sandi Anda Melalui Periksa Ejaan Browser Web

by Leave a Comment

Fitur pemeriksa ejaan yang diperluas di browser web Google Chrome dan Microsoft Edge mengirimkan data formulir, termasuk informasi pengenal pribadi (PII) dan dalam beberapa kasus, kata sandi, masing-masing ke Google dan Microsoft.

Meskipun ini mungkin merupakan fitur yang diketahui dan dimaksudkan dari browser web ini, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan seberapa aman praktiknya, terutama jika menyangkut bidang kata sandi.

Baik Chrome dan Edge dikirimkan dengan pemeriksa ejaan dasar yang diaktifkan. Namun, fitur seperti Chrome’s Enhanced Spellcheck atau Microsoft Editor saat diaktifkan secara manual oleh pengguna, menunjukkan potensi risiko privasi ini.

Pembajakan ejaan: Itu pemeriksaan ejaan Anda mengirim PII ke Big Tech

Saat menggunakan browser web utama seperti Chrome dan Edge, data formulir Anda ditransmisikan ke Google dan Microsoft, masing-masing, jika fitur pemeriksa ejaan yang disempurnakan diaktifkan.

Bergantung pada situs web yang Anda kunjungi, data formulir itu sendiri dapat mencakup PII—termasuk namun tidak terbatas pada Nomor Jaminan Sosial (SSN)/Nomor Asuransi Sosial (SIN), nama, alamat, email, tanggal lahir (DOB), informasi kontak, informasi bank dan pembayaran, dan sebagainya.

Josh Summitt, salah satu pendiri & CTO perusahaan keamanan JavaScript otto-js menemukan masalah ini saat menguji deteksi perilaku skrip perusahaannya.

Jika Chrome Enhanced Spellcheck atau Edge’s Microsoft Editor (pemeriksa ejaan) diaktifkan, “pada dasarnya apa pun” yang dimasukkan dalam bidang formulir browser ini dikirim ke Google dan Microsoft.

“Selanjutnya, jika Anda mengklik ‘tampilkan kata sandi’, pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi Anda, pada dasarnya Membajak Eja data Anda,” jelas otto-js dalam sebuah posting blog.

“Beberapa situs web terbesar di dunia memiliki paparan untuk mengirimkan PII pengguna sensitif Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir. Kekhawatiran yang lebih signifikan bagi perusahaan adalah paparan yang disajikan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud.”

Pengguna mungkin sering mengandalkan opsi “tampilkan kata sandi” di situs tempat menyalin-menempelkan kata sandi tidak diperbolehkan, misalnya, atau ketika mereka menduga mereka salah ketik.

Untuk mendemonstrasikan, otto-js membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser web Chrome—meskipun situs web apa pun dapat digunakan untuk demonstrasi ini.

Dengan mengaktifkan pemeriksaan ejaan yang disempurnakan, dan dengan asumsi pengguna mengetuk fitur “tampilkan kata sandi”, bidang formulir termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.

Sebuah demonstrasi video juga telah dibagikan oleh perusahaan:

BleepingComputer juga mengamati kredensial yang dikirimkan ke Google dalam pengujian kami menggunakan Chrome untuk mengunjungi situs-situs utama seperti:

CNN—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
Facebook.com—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
SSA.gov (Login Jaminan Sosial)—hanya kolom nama pengguna
Bank of America—hanya kolom nama pengguna
Verizon—bidang nama pengguna saja
Solusi HTML sederhana: ‘spellcheck=false’
Meskipun transmisi bidang formulir terjadi dengan aman melalui HTTPS, mungkin tidak segera jelas tentang apa yang terjadi pada data pengguna setelah mencapai pihak ketiga, dalam contoh ini, server Google.

“Fitur pemeriksaan ejaan yang disempurnakan memerlukan keikutsertaan dari pengguna,” juru bicara Google mengonfirmasi kepada BleepingComputer. Perhatikan, bahwa ini berbeda dengan pemeriksa ejaan dasar yang diaktifkan di Chrome secara default dan tidak mengirimkan data ke Google.

Untuk meninjau apakah Enhanced spell check diaktifkan di browser Chrome Anda, salin-tempel tautan berikut di bilah alamat Anda. Anda kemudian dapat memilih untuk mengaktifkan atau menonaktifkannya:

Seperti yang terlihat dari tangkapan layar, deskripsi fitur secara eksplisit menyatakan bahwa dengan Enhanced spell check diaktifkan, “teks yang Anda ketik di browser dikirim ke Google.”

“Teks yang diketik oleh pengguna mungkin merupakan informasi pribadi yang sensitif dan Google tidak melampirkannya ke identitas pengguna mana pun dan hanya memprosesnya di server untuk sementara. Untuk lebih memastikan privasi pengguna, kami akan berupaya untuk mengecualikan sandi secara proaktif dari pemeriksaan ejaan,” lanjut Google dalam pernyataannya yang dibagikan kepada kami.

“Kami menghargai kolaborasi dengan komunitas keamanan, dan kami selalu mencari cara untuk melindungi privasi pengguna dan informasi sensitif dengan lebih baik.”

Adapun Edge, Microsoft Editor Spelling & Grammar Checker adalah addon browser yang perlu diinstal secara eksplisit agar perilaku ini terjadi.

BleepingComputer menghubungi Microsoft jauh sebelumnya sebelum dipublikasikan. Kami diberitahu bahwa masalah ini sedang diselidiki tetapi kami belum mendengar kabar.

otto-js menjuluki vektor serangan “Spell-jacking” dan menyatakan keprihatinan bagi pengguna layanan cloud seperti Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager, dan LastPass.

Bereaksi terhadap laporan otto-js, baik AWS dan LastPass mengurangi masalah tersebut. Dalam kasus LastPass, perbaikan dicapai dengan menambahkan atribut HTML sederhana spellcheck=”false” ke bidang kata sandi:

Atribut HTML ‘pemeriksaan ejaan’ ketika ditinggalkan dari bidang input teks formulir biasanya dianggap benar oleh browser web secara default. Bidang masukan dengan ‘pemeriksaan ejaan’ yang secara eksplisit disetel ke false tidak akan diproses melalui pemeriksa ejaan peramban web.

“Perusahaan dapat mengurangi risiko berbagi PII pelanggan mereka – dengan menambahkan ‘periksa ejaan = salah’ ke semua bidang input, meskipun ini dapat menimbulkan masalah bagi pengguna,” jelas otto-js merujuk pada fakta, pengguna sekarang tidak akan dapat lagi untuk menjalankan teks yang mereka masukkan melalui pemeriksa ejaan.

“Atau, Anda dapat menambahkannya hanya ke bidang formulir dengan data sensitif. Perusahaan juga dapat menghapus kemampuan ‘menampilkan kata sandi’. Itu tidak akan mencegah pembajakan ejaan, tetapi itu akan mencegah kata sandi pengguna dikirim.”

Cukup ironis, kami mengamati formulir login Twitter, yang dilengkapi dengan opsi “tampilkan kata sandi”, memiliki atribut HTML “pemeriksaan ejaan” bidang kata sandi yang secara eksplisit disetel ke true:

Sebagai perlindungan tambahan, pengguna Chrome dan Edge dapat mematikan Enhanced Spell Check (dengan mengikuti langkah-langkah yang disebutkan di atas) atau menghapus add-on Microsoft Editor dari Edge hingga kedua perusahaan merevisi pemeriksa ejaan yang diperluas untuk mengecualikan pemrosesan bidang sensitif, seperti kata sandi.

Sumber:

Iklan Umpan Berita Microsoft Edge Disalahgunakan untuk Penipuan Dukungan Teknis

by

Kampanye malvertising yang sedang berlangsung menyuntikkan iklan di Umpan Berita Microsoft Edge untuk mengarahkan calon korban ke situs web yang mendorong penipuan dukungan teknis.

Microsoft Edge saat ini adalah browser web default pada komputer yang menjalankan sistem operasi Windows dan saat ini memiliki pangsa pasar 4,3% di seluruh dunia, menurut Statcounter’s Global Stats.

Operasi penipuan ini telah berjalan setidaknya selama dua bulan, menurut Tim Intelijen Ancaman Malwarebytes, yang mengatakan ini adalah salah satu kampanye paling luas saat ini berdasarkan jumlah kebisingan telemetri yang dihasilkannya.

Ini tidak mengherankan mengingat skalanya, dengan penyerang beralih di antara ratusan subdomain ondigitalocean.app untuk meng-host halaman penipuan mereka dalam satu hari.

Beberapa iklan berbahaya yang mereka masukkan ke timeline Edge News Feed juga ditautkan ke lebih dari selusin domain, setidaknya salah satunya (tissatweb[.]us) juga dikenal sebagai hosting loker browser di masa lalu.

Alur pengalihan yang digunakan untuk mengirim pengguna Edge dimulai dengan pemeriksaan browser web target untuk beberapa pengaturan, seperti zona waktu, untuk memutuskan apakah mereka sepadan dengan waktu mereka. Jika tidak, mereka akan mengirimnya ke halaman umpan.

Untuk mengalihkan ke halaman arahan penipuan mereka, pelaku ancaman menggunakan jaringan iklan Taboola untuk memuat skrip JavaScript yang disandikan Base64 yang dirancang untuk memfilter calon korban.

“Tujuan dari skrip ini adalah untuk hanya menampilkan pengalihan berbahaya kepada calon korban, mengabaikan bot, VPN, dan geolokasi yang tidak menarik yang malah ditampilkan halaman yang tidak berbahaya terkait dengan iklan tersebut,” jelas Malwarebytes.

“Skema ini dimaksudkan untuk mengelabui pengguna yang tidak bersalah dengan halaman loker browser palsu, sangat terkenal dan digunakan oleh scammer dukungan teknis.”

Meskipun Malwarebytes tidak mengatakan apa yang terjadi jika Anda menghubungi nomor telepon penipu, dalam kebanyakan kasus, mereka akan mengunci komputer Anda menggunakan berbagai metode atau memberi tahu Anda bahwa perangkat Anda terinfeksi dan Anda perlu membeli lisensi dukungan.

Atau, begitu mereka terhubung ke komputer Anda untuk membantu Anda, scammers akan mencoba meyakinkan korbannya untuk membayar kontrak dukungan teknis yang mahal tanpa manfaat bagi korban.

“Dalam kemitraan dengan penyedia periklanan kami, kami telah menghapus konten ini dan memblokir pengiklan dari jaringan kami,” kata juru bicara Microsoft kepada BleepingComputer.

“Kami tetap berdedikasi untuk keselamatan pengguna kami dan akan terus bekerja dengan mitra kami untuk mendeteksi, menghilangkan, dan memberikan solusi teknologi baru untuk mencegah serangan malware dan mengatasi ancaman ini.”

Pembaruan: Menambahkan pernyataan Microsoft.

Sumber: BleepingComputer

Microsoft: Pembaruan Windows untuk menonaktifkan Internet Explorer secara permanen

by

Microsoft hari ini mengkonfirmasi bahwa pembaruan Windows di masa mendatang akan menonaktifkan browser web Internet Explorer secara permanen pada sistem pengguna.

Ini terungkap pada hari Rabu, 15 Juni, hari ketika Internet Explorer akhirnya mencapai akhir masa pakainya untuk opsi layanan saluran semi-tahunan (SAC) Windows 10.

Browser web yang sekarang sudah pensiun akan mulai mengarahkan pengguna ke Microsoft Edge baru berbasis Chromium saat meluncurkan aplikasi desktop Internet Explorer 11.

Selama proses pengalihan ini, data pengguna (termasuk pengaturan, favorit, dan kata sandi) akan diimpor ke Microsoft Edge untuk mempermudah peralihan.

Microsoft juga akan menambahkan tombol “Muat ulang dalam mode IE” ke bilah alat Edge untuk membantu pengguna dengan cepat meluncurkan situs yang meminta untuk dibuka di Internet Explorer menggunakan mode IE.

Pesan pengalihan Internet Explorer (Microsoft)

Internet Explorer telah meluncurkan Microsoft Edge secara otomatis saat mengunjungi situs yang tidak kompatibel mulai Oktober 2020.

Daftar situs yang tidak kompatibel (dikelola oleh Microsoft) saat ini berisi 1.427 situs, termasuk Twitter, Facebook, Instagram, Google Drive, Microsoft Teams, dan banyak lainnya.

Meskipun secara resmi pensiun dari beberapa versi Windows 10 dan tidak dikirimkan dengan Windows 11, Internet Explorer akan tetap tersedia di Windows 7 ESU, Windows 8.1, dan semua versi klien Windows 10 LTSC, IoT, dan Server.

Pada sistem yang menjalankan versi Windows ini, browser web akan terus menerima dukungan teknis dan pembaruan keamanan untuk siklus hidup versi Windows yang dijalankannya.

Microsoft telah mendorong pelanggan untuk beralih dari Internet Explorer ke Microsoft Edge selama bertahun-tahun.

Untuk mengaktifkan mode IE di Microsoft Edge, Anda harus pergi ke edge://settings/defaultbrowser, aktifkan opsi ‘Izinkan situs untuk dimuat ulang di Internet Explorer’, dan mulai ulang browser web.

Pada bulan Agustus 2020, Microsoft pertama kali mengumumkan rencana untuk membuang dukungan untuk browser web Internet Explorer 11 di Windows 10 dan Microsoft 365, dengan pengumuman resmi pensiun yang dikeluarkan pada 19 Mei 2021.

Microsoft juga menghentikan dukungan IE di Teams pada 30 November 2020, dan mengakhiri dukungan di seluruh aplikasi dan layanan Microsoft 365 pada 17 Agustus 2021.

Aplikasi dan layanan Microsoft lainnya juga telah mengakhiri dukungan untuk Internet Explorer selama beberapa tahun terakhir

Sumber: Bleeping Computer

Microsoft: Edge akan mengurangi bug zero day ‘aktif tak terduga’

by

Microsoft Edge telah menambahkan fitur baru ke saluran Beta yang akan mengurangi eksploitasi di masa depan dari kerentanan zero-day yang tidak diketahui.

Kemampuan baru ini merupakan bagian dari mode penjelajahan baru yang dirancang untuk fokus pada keamanan Microsoft Edge saat menavigasi web.

“Fitur ini merupakan langkah maju yang besar karena memungkinkan kami mengurangi zero-day aktif yang tidak terduga (berdasarkan tren historis),” Microsoft menjelaskan.

“Saat diaktifkan, fitur ini menghadirkan Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG), dan Content Flow Guard (CFG) sebagai pendukung mitigasi keamanan untuk meningkatkan keamanan pengguna di web.”

Microsoft telah menyertakan lapisan perlindungan ekstra ini terhadap bug zero-day yang dieksploitasi di alam liar dengan merilis versi 98.0.1108.23 ke Microsoft Edge Beta Channel.

Untuk membantu melindungi pengguna akhir dari eksploitasi zero-day, administrator dapat menerapkan EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains, EnhanceSecurityModeEnforceListDomains ke desktop Windows, macOS, dan Linux.

“Kebijakan ini juga membuat situs penting dan aplikasi lini bisnis terus bekerja seperti yang diharapkan,” tambah Microsoft.

Dalam catatan rilis untuk versi Beta Microsoft Edge terbaru, Microsoft juga menyebutkan penambahan kata sandi utama khusus yang akan memungkinkan pengguna untuk menambahkan langkah otentikasi tambahan sebelum kata sandi yang disimpan diisi secara otomatis dalam formulir web.

Selengkapnya: Bleeping Computer

‘Super Duper Secure Mode’ Microsoft untuk Edge Menawarkan kecepatan untuk keamanan yang lebih baik

by

Tim peneliti kerentanan browser Microsoft sedang mengerjakan mode untuk membuat browser Edge lebih aman, dan itu memberinya nama yang luar biasa: “Super Duper Secure Mode” (melalui The Record). Mode saat ini sangat eksperimental, tetapi dapat membantu mempersulit penyerang yang mencoba mengeksploitasi bug di browser Microsoft dengan mematikan pengoptimalan tertentu.

Untuk membuat browser “super duper secure”, mode ini mematikan fitur engine JavaScript Edge yang dimaksudkan untuk membuat kode situs web berjalan lebih cepat. Teknologi ini disebut kompilasi Just-In-Time (atau JIT), dan meskipun dapat membantu meningkatkan kinerja, itu juga sangat rumit. Ini memudahkan bug untuk masuk, yang dapat menyebabkan eksploitasi keamanan — Microsoft menunjuk pada analisis Mozilla yang menunjukkan bahwa lebih dari setengah eksploitasi Chrome dunia nyata sejak 2018 terkait dengan JIT.

Tentu saja, ada kekhawatiran bahwa mematikan teknologi yang dimaksudkan untuk membuat sebagian besar situs web modern berjalan lebih cepat dapat merusak kinerja. Posting blog mencatat bahwa menonaktifkan JIT dapat menyebabkan skor benchmark JavaScript yang jauh lebih rendah, tetapi tim mengatakan bahwa, di dunia nyata, orang biasanya tidak melihat banyak perbedaan.

Mode eksperimental tampaknya masih dalam tahap yang sangat awal — ada hal-hal yang ingin diaktifkan oleh tim tetapi belum, itu tidak berfungsi pada semua platform yang didukung Edge, dan tim mengatakan ada “beberapa tantangan masalah teknis untuk diatasi” sebelum fitur diluncurkan.

Selengkapnya: The Verge

Bug Microsoft Edge Dapat Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

by

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.

Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Selengkapnya: The Hacker News

Microsoft meluncurkan Edge 90, dengan pencarian riwayat baru, Mode Anak, untuk pengguna umum

by

Microsoft meluncurkan versi terbaru dari browser Edge barunya kepada pengguna umum hari ini, 15 April – hari yang sama saat Google meluncurkan Chrome 90. Microsoft’s Edge 90 menyertakan sejumlah fitur baru, termasuk opsi pencarian riwayat baru dan Mode Anak , yang telah diuji selama beberapa bulan terakhir.

Password Monitor, yang dimaksudkan untuk melindungi kata sandi pengguna dengan memberi tahu mereka jika kredensial mereka telah disusupi, juga dianggap sebagai bagian dari peluncuran Edge 90. Microsoft mulai meluncurkan Monitor Kata Sandi pada Januari 2021 sebagai bagian dari Edge 88, tetapi pada Edge 90, sekarang tersedia untuk semua pengguna

Fitur baru lainnya yang merupakan bagian dari Edge 90, menurut halaman Microsoft’s Edge “What’s Next”, termasuk dukungan untuk pengikatan token TLS untuk situs yang dikonfigurasi dengan kebijakan; opsi “halaman saat ini” untuk mencetak dokumen PDF; kemampuan untuk menghapus kata sandi secara massal; perbaikan rendering font; dan dukungan riwayat browser yang disinkronkan untuk penelusuran riwayat. Mulai versi 90, Edge juga sekarang mendukung istilah pencarian yang lebih mudah sehingga pelanggan dapat mencari riwayat penelusuran mereka dengan kata-kata mereka sendiri dengan istilah seperti “artikel berita dari minggu lalu,” kata pejabat.

selengkapnya : www.zdnet.com

Bug di Firefox, Chrome, Edge Memungkinkan Pembajakan Sistem Jarak Jauh

by

Pembuat browser Chrome, Firefox, dan Edge mendesak pengguna untuk menambal kerentanan kritis yang jika dieksploitasi memungkinkan peretas untuk membajak sistem yang menjalankan perangkat lunak tersebut.

Kerentanan Mozilla Firefox (CVE-2020-16044) terpisah dari bug yang dilaporkan di mesin browser Google Chromium, yang digunakan di browser Google Chrome dan browser Edge versi terbaru Microsoft.

Pada hari Kamis, Cybersecurity and Infrastructure Security Agency (CISA) mendesak pengguna browser Firefox Mozilla Foundation untuk menambal bug, dilacak sebagai CVE-2020-16044, dan dinilai sebagai kritis. Kerentanan tersebut diklasifikasikan sebagai bug use-after-free dan terkait dengan cara Firefox menangani cookie browser dan jika dieksploitasi memungkinkan peretas untuk mendapatkan akses ke komputer, ponsel, atau tablet yang menjalankan perangkat lunak browser.

Yang terkena dampak adalah versi browser Firefox yang dirilis sebelum Firefox desktop 84.0.2 yang baru-baru ini dirilis, edisi Firefox Android 84.1.3, dan juga versi Firefox ESR 78.6.1 perusahaan Mozilla.

Bug Browser Chromium Berdampak pada Chrome dan Edge

Juga pada hari Kamis, CISA mendesak pengguna Windows, macOS, dan Linux dari browser Chrome Google untuk menambal bug penulisan di luar batas (CVE-2020-15995) yang memengaruhi versi 87.0.4280.141 saat ini. Peringatan CISA-bug menyatakan bahwa pembaruan ke versi terbaru browser Chrome akan “mengatasi kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh”.

Karena browser Edge terbaru Microsoft didasarkan pada mesin browser Google Chromium, Microsoft juga mendesak penggunanya untuk memperbarui ke versi 87.0.664.75 terbaru dari browser Edge-nya.

sumber : Threatpost