Microsoft Edge

Bug Microsoft Edge Dapat Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

June 29, 2021 by Winnie the Pooh

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.

Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Selengkapnya: The Hacker News

Microsoft meluncurkan Edge 90, dengan pencarian riwayat baru, Mode Anak, untuk pengguna umum

April 17, 2021 by Winnie the Pooh

Microsoft meluncurkan versi terbaru dari browser Edge barunya kepada pengguna umum hari ini, 15 April – hari yang sama saat Google meluncurkan Chrome 90. Microsoft’s Edge 90 menyertakan sejumlah fitur baru, termasuk opsi pencarian riwayat baru dan Mode Anak , yang telah diuji selama beberapa bulan terakhir.

Password Monitor, yang dimaksudkan untuk melindungi kata sandi pengguna dengan memberi tahu mereka jika kredensial mereka telah disusupi, juga dianggap sebagai bagian dari peluncuran Edge 90. Microsoft mulai meluncurkan Monitor Kata Sandi pada Januari 2021 sebagai bagian dari Edge 88, tetapi pada Edge 90, sekarang tersedia untuk semua pengguna

Fitur baru lainnya yang merupakan bagian dari Edge 90, menurut halaman Microsoft’s Edge “What’s Next”, termasuk dukungan untuk pengikatan token TLS untuk situs yang dikonfigurasi dengan kebijakan; opsi “halaman saat ini” untuk mencetak dokumen PDF; kemampuan untuk menghapus kata sandi secara massal; perbaikan rendering font; dan dukungan riwayat browser yang disinkronkan untuk penelusuran riwayat. Mulai versi 90, Edge juga sekarang mendukung istilah pencarian yang lebih mudah sehingga pelanggan dapat mencari riwayat penelusuran mereka dengan kata-kata mereka sendiri dengan istilah seperti “artikel berita dari minggu lalu,” kata pejabat.

selengkapnya : www.zdnet.com

Microsoft Patch Tuesday Maret: Cacat eksekusi kode jarak jauh yang kritis, IE zero-day diperbaiki

March 10, 2021 by Winnie the Pooh

Microsoft telah merilis 89 perbaikan keamanan untuk perangkat lunak termasuk browser Edge, Office, dan Azure yang menambal masalah kritis termasuk vektor untuk eksekusi kode jarak jauh.

Selama putaran patch bulanan standar, Microsoft merilis banyak patch untuk memperbaiki kerentanan dalam perangkat lunak nya termasuk Azure, produk Microsoft Office – seperti PowerPoint, Excel, SharePoint, dan Visio – di samping browser Edge dan Internet Explorer.

Ini juga mencakup tujuh perbaikan out-of-band untuk Microsoft Exchange Server yang dirilis minggu lalu, empat di antaranya digolongkan sebagai zero-days.

Secara total, 14 dideskripsikan sebagai keretanan kritis dan mayoritas mengarah ke Remote Code Execution (RCE), sedangkan sisanya dianggap penting.

Di antara kerentanan yang diperbaiki adalah resolusi CVE-2021-26411, kerentanan kerusakan memori di Internet Explorer yang secara aktif dieksploitasi di alam liar.

Masalah penting lainnya yang perlu diperhatikan termasuk CVE-2021-27074 dan CVE-2021-27080, bug eksekusi kode tak bertanda tangan di Azure Sphere, dan CVE-2021-26897, cacat RCE kritis di Windows DNS Server.

Microsoft juga mengumumkan berakhirnya dukungan aplikasi desktop Microsoft Edge Legacy. Aplikasi akan dihapus dan diganti dengan Microsoft Edge baru selama pembaruan keamanan bulanan kumulatif Windows 10 bulan April.

Untuk melihat detail kerentanan, periksa di Release note pembaruan resmi Microsoft bulan Maret atau Portal Panduan Pembaruan Keamanan resmi Microsoft.

Sumber: ZDNet

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

December 4, 2020 by Winnie the Pooh

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet

Microsoft secara otomatis menginstal PWA Office untuk beberapa pengguna Windows 10

October 16, 2020 by Winnie the Pooh

Microsoft sedang menguji penginstalan otomatis oleh browser Edge barunya dari sejumlah aplikasi Office intinya sebagai Progressive Web Apps (PWA), menurut laporan.

Microsoft tampaknya menguji ini secara selektif di antara beberapa pelanggan Windows 10 Insider pada akhir pekan lalu melalui rilis Stable dari browser Edge berbasis Chromium, seperti yang pertama kali dilaporkan oleh WindowsLatest.com.

PWA adalah situs web dan / atau aplikasi web yang berperilaku seperti aplikasi asli tetapi hidup di dalam jendela browser.

Hingga saat ini, Microsoft telah membuat penginstalan Outlook sebagai PWA sebagai opsi yang dikontrol pengguna untuk pengguna Windows 10. Pengguna juga memiliki opsi untuk menginstal aplikasi Office untuk Windows 10 (penerus aplikasi “My Office”) sebagai PWA jika mereka memilihnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft Menyaingi Google Chrome Dengan Fitur Keamanan Baru Ini

May 4, 2020 by Winnie the Pooh

Saat sejumlah besar orang bekerja dari rumah selama krisis COVID-19, Microsoft akan menambahkan beberapa fitur baru di dalam aplikasi peramban mereka, Edge, untuk membuatnya lebih aman bagi mereka yang bekerja di rumah.

Perubahan pertama adalah pembaruan untuk fitur “Profil” Microsoft Edge untuk memudahkan Anda memisahkan pekerjaan dan penelusuran pribadi. Dalam sebuah blog, Microsoft mengumumkan fitur yang disebut “Automatic Profile Switching” untuk membantu menjaga pekerjaan dan data pribadi Anda tetap terpisah. Fitur ini akan tersedia di Microsoft Edge versi 83.

Tidak hanya itu, menurut situs teknologi Bleeping Computer, yang mengatakan Microsoft juga sedang menguji versi baru Edge yang dilengkapi dengan fitur-fitur baru termasuk pembaruan ke fitur yang disebut SmartScreen yang menghentikan Anda mengunjungi situs web tidak aman atau mengunduh file berbahaya. Fitur ini berfungsi memeriksa file atau situs terhadap database untuk memeriksa keamanannya.

SmartScreen sedang diperbarui di Microsoft Edge Dev v 84.0.495.2 untuk mendukung dua teknologi baru ClickOnce dan DirectInvoke sehingga dapat memblokir berbagai dokumen berbahaya yang jauh lebih besar.

Microsoft Edge 83 akan dirilis awal pertengahan Mei.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft Edge

Cookies Settings