Se ha anunciado una vulnerabilidad en Microsoft Edge que podría evitar las políticas de mismo origen del navegador (SOP, Some Origin Policy); lo que podría permitir construir un ataque para conseguir las contraseñas y cookies de servicios en los que el usuario se encuentre autenticado.

El aviso viene de la mano del investigador argentino Manuel Caballero, que en una extensa entrada en su blog detalla cómo llevar a cabo el ataque. El problema se basa en un salto de las políticas de mismo origen de Microsoft Edge, aunque en este caso se abusa de las etiquetas data/meta junto con el hecho de que páginas sin dominio (como about:blank) tienen libre acceso a las páginas con dominio.

LEER MAS: http://unaaldia.hispasec.com/2017/04/vulnerabilidad-en-microsoft-edge.html