Google, LLC
Джейк Арчибальд, сторонник разработчика Google Chrome, обнаружил довольно серьезную уязвимость в современной технологии просмотра веб-страниц, которая может позволить сайтам украсть данные для входа, а также другую конфиденциальную информацию. Теоретически эксплойты могут украсть информацию, относящуюся к другим сайтам, на которые вы вошли, но в настоящее время не пытаетесь получить доступ.
Удаленные злоумышленники гипотетически могут даже использовать эту уязвимость для чтения содержимого электронной почты, к которой вы обращаетесь через веб-интерфейс, или личных сообщений, отправленных вам на сайтах социальных сетей.
Технология запросов между источниками обеспечивает основу, на которой теоретически может быть построена уязвимость. Современные браузеры не разрешают сайтам делать запросы из разных источников, потому что современные инженеры считают, что у одного сайта есть несколько законных причин просматривать информацию, полученную с другого.
Когда дело доходит до получения других типов медиафайлов, размещенных во внешних источниках, веб-браузеры не так уж и требовательны, поскольку этот тип запроса обязательно предназначен для загрузки потокового аудио и видео.
Коду сайта обычно разрешено загружать аудио- и видеофайлы из другого домена без вывода в браузере сообщения об ошибке несанкционированного запроса. Браузеры также могут поддерживать некоторые типы ответов на заголовок диапазона и частичную загрузку контента, которые должны доставлять небольшие фрагменты более крупного фрагмента потокового мультимедиа.
Согласно исследованию Арчибальда, Microsoft Edge, Mozilla Firefox и другие современные браузеры можно обманом заставить загружать нерегулярные запросы с помощью этого метода. Было показано, что эти браузеры разрешают тестовые копии непрозрачных данных из нескольких источников до конечного пользователя.
В настоящее время нет известных случаев использования взломщиками этого вектора атаки. Wavethrough, как называет это Арчибальд, уже был исправлен в Chrome и Safari, но целенаправленно не пытался это сделать. Он заявил, что хотел бы, чтобы такая функция безопасности была написана в качестве стандарта просмотра, чтобы все современные браузеры были невосприимчивы к уязвимости.
Хотя не было никаких новостей о том, что Microsoft или Mozilla отреагировали на ошибку, нетрудно поверить, что исправления будут выпущены в следующем крупном обновлении обоих этих браузеров. Когда-нибудь инженеры могут настаивать на том, чтобы эта конструкция стала стандартной, как того хотел Арчибальд.
Теги Гугл Хром веб-безопасность
