Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Microsoft Edge

Microsoft Edge

Microsoft mempromosikan Edge dengan trik kotor lagi

by

Microsoft Edge, browser web default yang sudah diinstal sebelumnya di sekitar 1,4 miliar PC Windows, sangat bagus. Selama beberapa tahun terakhir Microsoft telah menginvestasikan banyak waktu dan uang untuk mengembangkan fitur-fiturnya untuk bersaing dengan Chrome.

Jadi sayang sekali saya harus memberi tahu Anda, sekali lagi, bahwa Microsoft menyalahgunakan posisinya sebagai penerbit Windows untuk mencoba dan memaksa penggunanya masuk ke browser pihak pertama.

Awal pekan ini, beberapa pengguna Windows menemukan bahwa setiap kali mereka membuka Chrome, jendela pengaturan aplikasi default Windows juga akan terbuka. Beberapa dari mereka melaporkan bahwa jendela akan terbuka setiap kali mereka mengklik tautan di browser, asalkan Chrome disetel ke default.

Masalahnya tampaknya sangat umum bagi pengguna Windows Enterprise. Rupanya itu adalah masalah dengan pembaruan Windows KB5025221 yang dikeluarkan pada bulan April, yang merusak opsi satu-klik Chrome untuk mengubah browser default, fitur yang diperkenalkan Google tahun lalu. Gizmodo melaporkan bahwa hanya mengubah nama Chrome yang dapat dieksekusi sudah cukup untuk menghindari masalah tersebut, menunjukkan bahwa pembaruan Microsoft secara khusus menargetkan perilaku tombol default Chrome.

Tapi itu bukan akhir dari cerita. Baru pagi ini Microsoft mengumumkan bahwa pembaruan baru untuk versi desktop Outlook dan Teams akan memaksa tautan untuk dibuka di browser Edge, mengabaikan pengaturan default pengguna jika mereka ditetapkan ke browser lain.

Tidak hanya itu merupakan penyalahgunaan yang mencolok dari posisi Microsoft sebagai penerbit Windows dan alat terkaitnya, itu juga secara terang-terangan mengabaikan kemampuan pengguna Windows untuk mengatur asosiasi aplikasi khusus dengan file dan tautan.

Selengkapnya: PCWorld

Microsoft membajak halaman unduhan Chrome Google untuk memohon agar Anda tidak meninggalkan Edge

by

Microsoft Edge telah terlihat memasukkan spanduk ke halaman unduhan Chrome di Google.com yang meminta orang untuk tetap menggunakan browser raksasa Windows itu.

Seperti yang dicatat minggu ini oleh Neowin, upaya untuk mengunduh dan menginstal Chrome Canary menggunakan Edge Canary – keduanya merupakan build browser eksperimental – mengarah ke presentasi di jendela browser Edge dari grafik spanduk yang merayakan keunggulan Edge.

“Microsoft Edge berjalan pada teknologi yang sama dengan Chrome, dengan kepercayaan tambahan dari Microsoft,” spanduk tersebut menyatakan di atas tombol berlabel “Jelajahi dengan aman sekarang.”

Ini ada di laman web Google, google.com/chrome/canary/thank-you.html, dan tidak jelas bagaimana iklan ini muncul. Edge tampaknya menampilkan spanduk dengan sendirinya saat pengguna menjelajahi halaman unduhan Chrome di Google.com, yang sedikit agresif.

Microsoft tidak segera menanggapi permintaan untuk menjelaskan promosi dan mekanisme di baliknya. Kami mencatat bahwa Edge diberdayakan oleh mesin Chromium open source yang juga merupakan inti dari Google Chrome.

Iklan tersebut tampaknya tidak ditayangkan melalui server iklan biasa berdasarkan penempatan halamannya. Ada perdebatan di antara mereka yang mendiskusikan spanduk online apakah iklan terdiri dari kode yang disuntikkan oleh Edge ke halaman web Google, yang akan membuatnya dapat dideteksi dan dilepas sebagai bagian dari Model Objek Dokumen.

Juga disarankan bahwa iklan mungkin berasal dari Edge sebagai elemen antarmuka yang ditumpuk di atas halaman web yang dirender. Kami percaya ini masalahnya.

Selengkapnya: The Register

Google, Microsoft Bisa Mendapatkan Kata Sandi Anda Melalui Periksa Ejaan Browser Web

by Leave a Comment

Fitur pemeriksa ejaan yang diperluas di browser web Google Chrome dan Microsoft Edge mengirimkan data formulir, termasuk informasi pengenal pribadi (PII) dan dalam beberapa kasus, kata sandi, masing-masing ke Google dan Microsoft.

Meskipun ini mungkin merupakan fitur yang diketahui dan dimaksudkan dari browser web ini, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan seberapa aman praktiknya, terutama jika menyangkut bidang kata sandi.

Baik Chrome dan Edge dikirimkan dengan pemeriksa ejaan dasar yang diaktifkan. Namun, fitur seperti Chrome’s Enhanced Spellcheck atau Microsoft Editor saat diaktifkan secara manual oleh pengguna, menunjukkan potensi risiko privasi ini.

Pembajakan ejaan: Itu pemeriksaan ejaan Anda mengirim PII ke Big Tech

Saat menggunakan browser web utama seperti Chrome dan Edge, data formulir Anda ditransmisikan ke Google dan Microsoft, masing-masing, jika fitur pemeriksa ejaan yang disempurnakan diaktifkan.

Bergantung pada situs web yang Anda kunjungi, data formulir itu sendiri dapat mencakup PII—termasuk namun tidak terbatas pada Nomor Jaminan Sosial (SSN)/Nomor Asuransi Sosial (SIN), nama, alamat, email, tanggal lahir (DOB), informasi kontak, informasi bank dan pembayaran, dan sebagainya.

Josh Summitt, salah satu pendiri & CTO perusahaan keamanan JavaScript otto-js menemukan masalah ini saat menguji deteksi perilaku skrip perusahaannya.

Jika Chrome Enhanced Spellcheck atau Edge’s Microsoft Editor (pemeriksa ejaan) diaktifkan, “pada dasarnya apa pun” yang dimasukkan dalam bidang formulir browser ini dikirim ke Google dan Microsoft.

“Selanjutnya, jika Anda mengklik ‘tampilkan kata sandi’, pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi Anda, pada dasarnya Membajak Eja data Anda,” jelas otto-js dalam sebuah posting blog.

“Beberapa situs web terbesar di dunia memiliki paparan untuk mengirimkan PII pengguna sensitif Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir. Kekhawatiran yang lebih signifikan bagi perusahaan adalah paparan yang disajikan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud.”

Pengguna mungkin sering mengandalkan opsi “tampilkan kata sandi” di situs tempat menyalin-menempelkan kata sandi tidak diperbolehkan, misalnya, atau ketika mereka menduga mereka salah ketik.

Untuk mendemonstrasikan, otto-js membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser web Chrome—meskipun situs web apa pun dapat digunakan untuk demonstrasi ini.

Dengan mengaktifkan pemeriksaan ejaan yang disempurnakan, dan dengan asumsi pengguna mengetuk fitur “tampilkan kata sandi”, bidang formulir termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.

Sebuah demonstrasi video juga telah dibagikan oleh perusahaan:

BleepingComputer juga mengamati kredensial yang dikirimkan ke Google dalam pengujian kami menggunakan Chrome untuk mengunjungi situs-situs utama seperti:

CNN—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
Facebook.com—nama pengguna dan kata sandi saat menggunakan ‘tampilkan kata sandi’
SSA.gov (Login Jaminan Sosial)—hanya kolom nama pengguna
Bank of America—hanya kolom nama pengguna
Verizon—bidang nama pengguna saja
Solusi HTML sederhana: ‘spellcheck=false’
Meskipun transmisi bidang formulir terjadi dengan aman melalui HTTPS, mungkin tidak segera jelas tentang apa yang terjadi pada data pengguna setelah mencapai pihak ketiga, dalam contoh ini, server Google.

“Fitur pemeriksaan ejaan yang disempurnakan memerlukan keikutsertaan dari pengguna,” juru bicara Google mengonfirmasi kepada BleepingComputer. Perhatikan, bahwa ini berbeda dengan pemeriksa ejaan dasar yang diaktifkan di Chrome secara default dan tidak mengirimkan data ke Google.

Untuk meninjau apakah Enhanced spell check diaktifkan di browser Chrome Anda, salin-tempel tautan berikut di bilah alamat Anda. Anda kemudian dapat memilih untuk mengaktifkan atau menonaktifkannya:

Seperti yang terlihat dari tangkapan layar, deskripsi fitur secara eksplisit menyatakan bahwa dengan Enhanced spell check diaktifkan, “teks yang Anda ketik di browser dikirim ke Google.”

“Teks yang diketik oleh pengguna mungkin merupakan informasi pribadi yang sensitif dan Google tidak melampirkannya ke identitas pengguna mana pun dan hanya memprosesnya di server untuk sementara. Untuk lebih memastikan privasi pengguna, kami akan berupaya untuk mengecualikan sandi secara proaktif dari pemeriksaan ejaan,” lanjut Google dalam pernyataannya yang dibagikan kepada kami.

“Kami menghargai kolaborasi dengan komunitas keamanan, dan kami selalu mencari cara untuk melindungi privasi pengguna dan informasi sensitif dengan lebih baik.”

Adapun Edge, Microsoft Editor Spelling & Grammar Checker adalah addon browser yang perlu diinstal secara eksplisit agar perilaku ini terjadi.

BleepingComputer menghubungi Microsoft jauh sebelumnya sebelum dipublikasikan. Kami diberitahu bahwa masalah ini sedang diselidiki tetapi kami belum mendengar kabar.

otto-js menjuluki vektor serangan “Spell-jacking” dan menyatakan keprihatinan bagi pengguna layanan cloud seperti Office 365, Alibaba Cloud, Google Cloud – Secret Manager, Amazon AWS – Secrets Manager, dan LastPass.

Bereaksi terhadap laporan otto-js, baik AWS dan LastPass mengurangi masalah tersebut. Dalam kasus LastPass, perbaikan dicapai dengan menambahkan atribut HTML sederhana spellcheck=”false” ke bidang kata sandi:

Atribut HTML ‘pemeriksaan ejaan’ ketika ditinggalkan dari bidang input teks formulir biasanya dianggap benar oleh browser web secara default. Bidang masukan dengan ‘pemeriksaan ejaan’ yang secara eksplisit disetel ke false tidak akan diproses melalui pemeriksa ejaan peramban web.

“Perusahaan dapat mengurangi risiko berbagi PII pelanggan mereka – dengan menambahkan ‘periksa ejaan = salah’ ke semua bidang input, meskipun ini dapat menimbulkan masalah bagi pengguna,” jelas otto-js merujuk pada fakta, pengguna sekarang tidak akan dapat lagi untuk menjalankan teks yang mereka masukkan melalui pemeriksa ejaan.

“Atau, Anda dapat menambahkannya hanya ke bidang formulir dengan data sensitif. Perusahaan juga dapat menghapus kemampuan ‘menampilkan kata sandi’. Itu tidak akan mencegah pembajakan ejaan, tetapi itu akan mencegah kata sandi pengguna dikirim.”

Cukup ironis, kami mengamati formulir login Twitter, yang dilengkapi dengan opsi “tampilkan kata sandi”, memiliki atribut HTML “pemeriksaan ejaan” bidang kata sandi yang secara eksplisit disetel ke true:

Sebagai perlindungan tambahan, pengguna Chrome dan Edge dapat mematikan Enhanced Spell Check (dengan mengikuti langkah-langkah yang disebutkan di atas) atau menghapus add-on Microsoft Editor dari Edge hingga kedua perusahaan merevisi pemeriksa ejaan yang diperluas untuk mengecualikan pemrosesan bidang sensitif, seperti kata sandi.

Sumber:

Iklan Umpan Berita Microsoft Edge Disalahgunakan untuk Penipuan Dukungan Teknis

by

Kampanye malvertising yang sedang berlangsung menyuntikkan iklan di Umpan Berita Microsoft Edge untuk mengarahkan calon korban ke situs web yang mendorong penipuan dukungan teknis.

Microsoft Edge saat ini adalah browser web default pada komputer yang menjalankan sistem operasi Windows dan saat ini memiliki pangsa pasar 4,3% di seluruh dunia, menurut Statcounter’s Global Stats.

Operasi penipuan ini telah berjalan setidaknya selama dua bulan, menurut Tim Intelijen Ancaman Malwarebytes, yang mengatakan ini adalah salah satu kampanye paling luas saat ini berdasarkan jumlah kebisingan telemetri yang dihasilkannya.

Ini tidak mengherankan mengingat skalanya, dengan penyerang beralih di antara ratusan subdomain ondigitalocean.app untuk meng-host halaman penipuan mereka dalam satu hari.

Beberapa iklan berbahaya yang mereka masukkan ke timeline Edge News Feed juga ditautkan ke lebih dari selusin domain, setidaknya salah satunya (tissatweb[.]us) juga dikenal sebagai hosting loker browser di masa lalu.

Alur pengalihan yang digunakan untuk mengirim pengguna Edge dimulai dengan pemeriksaan browser web target untuk beberapa pengaturan, seperti zona waktu, untuk memutuskan apakah mereka sepadan dengan waktu mereka. Jika tidak, mereka akan mengirimnya ke halaman umpan.

Untuk mengalihkan ke halaman arahan penipuan mereka, pelaku ancaman menggunakan jaringan iklan Taboola untuk memuat skrip JavaScript yang disandikan Base64 yang dirancang untuk memfilter calon korban.

“Tujuan dari skrip ini adalah untuk hanya menampilkan pengalihan berbahaya kepada calon korban, mengabaikan bot, VPN, dan geolokasi yang tidak menarik yang malah ditampilkan halaman yang tidak berbahaya terkait dengan iklan tersebut,” jelas Malwarebytes.

“Skema ini dimaksudkan untuk mengelabui pengguna yang tidak bersalah dengan halaman loker browser palsu, sangat terkenal dan digunakan oleh scammer dukungan teknis.”

Meskipun Malwarebytes tidak mengatakan apa yang terjadi jika Anda menghubungi nomor telepon penipu, dalam kebanyakan kasus, mereka akan mengunci komputer Anda menggunakan berbagai metode atau memberi tahu Anda bahwa perangkat Anda terinfeksi dan Anda perlu membeli lisensi dukungan.

Atau, begitu mereka terhubung ke komputer Anda untuk membantu Anda, scammers akan mencoba meyakinkan korbannya untuk membayar kontrak dukungan teknis yang mahal tanpa manfaat bagi korban.

“Dalam kemitraan dengan penyedia periklanan kami, kami telah menghapus konten ini dan memblokir pengiklan dari jaringan kami,” kata juru bicara Microsoft kepada BleepingComputer.

“Kami tetap berdedikasi untuk keselamatan pengguna kami dan akan terus bekerja dengan mitra kami untuk mendeteksi, menghilangkan, dan memberikan solusi teknologi baru untuk mencegah serangan malware dan mengatasi ancaman ini.”

Pembaruan: Menambahkan pernyataan Microsoft.

Sumber: BleepingComputer

Microsoft: Pembaruan Windows untuk menonaktifkan Internet Explorer secara permanen

by

Microsoft hari ini mengkonfirmasi bahwa pembaruan Windows di masa mendatang akan menonaktifkan browser web Internet Explorer secara permanen pada sistem pengguna.

Ini terungkap pada hari Rabu, 15 Juni, hari ketika Internet Explorer akhirnya mencapai akhir masa pakainya untuk opsi layanan saluran semi-tahunan (SAC) Windows 10.

Browser web yang sekarang sudah pensiun akan mulai mengarahkan pengguna ke Microsoft Edge baru berbasis Chromium saat meluncurkan aplikasi desktop Internet Explorer 11.

Selama proses pengalihan ini, data pengguna (termasuk pengaturan, favorit, dan kata sandi) akan diimpor ke Microsoft Edge untuk mempermudah peralihan.

Microsoft juga akan menambahkan tombol “Muat ulang dalam mode IE” ke bilah alat Edge untuk membantu pengguna dengan cepat meluncurkan situs yang meminta untuk dibuka di Internet Explorer menggunakan mode IE.

Pesan pengalihan Internet Explorer (Microsoft)

Internet Explorer telah meluncurkan Microsoft Edge secara otomatis saat mengunjungi situs yang tidak kompatibel mulai Oktober 2020.

Daftar situs yang tidak kompatibel (dikelola oleh Microsoft) saat ini berisi 1.427 situs, termasuk Twitter, Facebook, Instagram, Google Drive, Microsoft Teams, dan banyak lainnya.

Meskipun secara resmi pensiun dari beberapa versi Windows 10 dan tidak dikirimkan dengan Windows 11, Internet Explorer akan tetap tersedia di Windows 7 ESU, Windows 8.1, dan semua versi klien Windows 10 LTSC, IoT, dan Server.

Pada sistem yang menjalankan versi Windows ini, browser web akan terus menerima dukungan teknis dan pembaruan keamanan untuk siklus hidup versi Windows yang dijalankannya.

Microsoft telah mendorong pelanggan untuk beralih dari Internet Explorer ke Microsoft Edge selama bertahun-tahun.

Untuk mengaktifkan mode IE di Microsoft Edge, Anda harus pergi ke edge://settings/defaultbrowser, aktifkan opsi ‘Izinkan situs untuk dimuat ulang di Internet Explorer’, dan mulai ulang browser web.

Pada bulan Agustus 2020, Microsoft pertama kali mengumumkan rencana untuk membuang dukungan untuk browser web Internet Explorer 11 di Windows 10 dan Microsoft 365, dengan pengumuman resmi pensiun yang dikeluarkan pada 19 Mei 2021.

Microsoft juga menghentikan dukungan IE di Teams pada 30 November 2020, dan mengakhiri dukungan di seluruh aplikasi dan layanan Microsoft 365 pada 17 Agustus 2021.

Aplikasi dan layanan Microsoft lainnya juga telah mengakhiri dukungan untuk Internet Explorer selama beberapa tahun terakhir

Sumber: Bleeping Computer

Microsoft menambahkan VPN built-in gratis ke browser Edge-nya

by

Microsoft menambahkan layanan jaringan pribadi virtual (VPN) built-in gratis ke browser Edge-nya dalam upaya untuk meningkatkan keamanan dan privasi, sebuah halaman dukungan Microsoft mengungkapkan.

Disebut “Edge Secure Network,” Microsoft saat ini sedang menguji layanan VPN yang didukung Cloudflare dan mengatakan akan meluncurkannya ke publik sebagai bagian dari peningkatan keamanan.

Saat diaktifkan, Edge Secure Network harus mengenkripsi lalu lintas web pengguna sehingga penyedia layanan internet tidak dapat mengumpulkan informasi penelusuran yang Anda lebih suka merahasiakannya, seperti, katakanlah, penelusuran terkait kesehatan atau sekadar pertanyaan aneh.

Fitur baru ini juga memungkinkan pengguna menyembunyikan lokasi mereka dengan memungkinkan mereka menjelajahi web menggunakan alamat IP virtual. Itu juga berarti pengguna dapat mengakses konten yang diblokir di negara mereka seperti, misalnya, acara Netflix atau Hulu.

inilah tangkapan untuk layanan gratis ini. Penggunaan data dibatasi hingga 1GB per bulan, dan pengguna harus masuk ke akun Microsoft sehingga perusahaan dapat melacak penggunaan mereka secara ironis.

Microsoft menambahkan bahwa sementara Cloudflare akan mengumpulkan dukungan dan informasi diagnostik dari layanan, perusahaan akan secara permanen menghapus data itu setiap 25 jam.

Sementara fitur ini masih dalam pengembangan dan belum tersedia untuk pengujian awal, Microsoft merinci bagaimana pengguna dapat mencoba pratinjau.

Selengkapnya: The Verge

Microsoft: Edge akan mengurangi bug zero day ‘aktif tak terduga’

by

Microsoft Edge telah menambahkan fitur baru ke saluran Beta yang akan mengurangi eksploitasi di masa depan dari kerentanan zero-day yang tidak diketahui.

Kemampuan baru ini merupakan bagian dari mode penjelajahan baru yang dirancang untuk fokus pada keamanan Microsoft Edge saat menavigasi web.

“Fitur ini merupakan langkah maju yang besar karena memungkinkan kami mengurangi zero-day aktif yang tidak terduga (berdasarkan tren historis),” Microsoft menjelaskan.

“Saat diaktifkan, fitur ini menghadirkan Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG), dan Content Flow Guard (CFG) sebagai pendukung mitigasi keamanan untuk meningkatkan keamanan pengguna di web.”

Microsoft telah menyertakan lapisan perlindungan ekstra ini terhadap bug zero-day yang dieksploitasi di alam liar dengan merilis versi 98.0.1108.23 ke Microsoft Edge Beta Channel.

Untuk membantu melindungi pengguna akhir dari eksploitasi zero-day, administrator dapat menerapkan EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains, EnhanceSecurityModeEnforceListDomains ke desktop Windows, macOS, dan Linux.

“Kebijakan ini juga membuat situs penting dan aplikasi lini bisnis terus bekerja seperti yang diharapkan,” tambah Microsoft.

Dalam catatan rilis untuk versi Beta Microsoft Edge terbaru, Microsoft juga menyebutkan penambahan kata sandi utama khusus yang akan memungkinkan pengguna untuk menambahkan langkah otentikasi tambahan sebelum kata sandi yang disimpan diisi secara otomatis dalam formulir web.

Selengkapnya: Bleeping Computer

‘Super Duper Secure Mode’ Microsoft untuk Edge Menawarkan kecepatan untuk keamanan yang lebih baik

by

Tim peneliti kerentanan browser Microsoft sedang mengerjakan mode untuk membuat browser Edge lebih aman, dan itu memberinya nama yang luar biasa: “Super Duper Secure Mode” (melalui The Record). Mode saat ini sangat eksperimental, tetapi dapat membantu mempersulit penyerang yang mencoba mengeksploitasi bug di browser Microsoft dengan mematikan pengoptimalan tertentu.

Untuk membuat browser “super duper secure”, mode ini mematikan fitur engine JavaScript Edge yang dimaksudkan untuk membuat kode situs web berjalan lebih cepat. Teknologi ini disebut kompilasi Just-In-Time (atau JIT), dan meskipun dapat membantu meningkatkan kinerja, itu juga sangat rumit. Ini memudahkan bug untuk masuk, yang dapat menyebabkan eksploitasi keamanan — Microsoft menunjuk pada analisis Mozilla yang menunjukkan bahwa lebih dari setengah eksploitasi Chrome dunia nyata sejak 2018 terkait dengan JIT.

Tentu saja, ada kekhawatiran bahwa mematikan teknologi yang dimaksudkan untuk membuat sebagian besar situs web modern berjalan lebih cepat dapat merusak kinerja. Posting blog mencatat bahwa menonaktifkan JIT dapat menyebabkan skor benchmark JavaScript yang jauh lebih rendah, tetapi tim mengatakan bahwa, di dunia nyata, orang biasanya tidak melihat banyak perbedaan.

Mode eksperimental tampaknya masih dalam tahap yang sangat awal — ada hal-hal yang ingin diaktifkan oleh tim tetapi belum, itu tidak berfungsi pada semua platform yang didukung Edge, dan tim mengatakan ada “beberapa tantangan masalah teknis untuk diatasi” sebelum fitur diluncurkan.

Selengkapnya: The Verge