Google, LLC
Jake Archibald, rzecznik programisty Google Chrome, odkrył dość poważną lukę w nowoczesnej technologii przeglądania sieci, która może pozwolić witrynom na kradzież danych logowania, a także innych poufnych informacji. Exploity mogą teoretycznie wykraść informacje związane z innymi witrynami, do których się logowałeś, ale obecnie nie próbujesz uzyskać do nich dostępu.
Osoby atakujące zdalnie mogą hipotetycznie wykorzystać tę lukę do odczytywania treści wiadomości e-mail, do których uzyskujesz dostęp z interfejsu internetowego, lub prywatnych postów wysyłanych do Ciebie w serwisach społecznościowych.
Technologia żądań cross-origin stanowi podstawę, na której teoretycznie można zbudować lukę. Nowoczesne przeglądarki nie zezwalają witrynom na wysyłanie żądań z różnych źródeł, ponieważ współcześni inżynierowie uważają, że istnieje kilka uzasadnionych powodów, dla których jedna witryna powinna przeglądać informacje dostarczane z innej.
Przeglądarki internetowe nie są tak szczegółowe, jeśli chodzi o pobieranie innych typów plików multimedialnych hostowanych w źródłach zewnętrznych, ponieważ tego rodzaju żądanie musi koniecznie ładować przesyłane strumieniowo audio i wideo.
Kod witryny może generalnie ładować pliki audio i wideo z innej domeny bez monitowania przeglądarki o wyświetlenie błędu nieautoryzowanego żądania. Przeglądarki mogą również obsługiwać niektóre typy nagłówków zakresu i odpowiedzi na częściowe ładowanie treści, które mają dostarczać małe fragmenty większego fragmentu multimediów strumieniowych.
Według badań Archibalda, Microsoft Edge, Mozilla Firefox i inne nowoczesne przeglądarki mogą zostać oszukane w celu załadowania nieregularnych żądań przy użyciu tej metody. Wykazano, że przeglądarki te pozwalają na testowe kopie nieprzejrzystych danych z wielu źródeł do użytkownika końcowego.
Obecnie nie są znane żadne przypadki crackerów wykorzystujących ten wektor ataku. Wavethrough, jak nazywa to Archibald, zostało już poprawione w Chrome i Safari bez tak naprawdę celowej próby zrobienia tego. Stwierdził, że życzyłby sobie, aby tego rodzaju funkcja bezpieczeństwa została zapisana jako standard przeglądania, aby wszystkie nowoczesne przeglądarki były odporne na tę lukę.
Chociaż nie było żadnych wiadomości o tym, że Microsoft lub Mozilla zareagowały na błąd, nietrudno uwierzyć, że poprawki zostaną wydane wraz z następną dużą aktualizacją obu tych przeglądarek. Inżynierowie mogą również pewnego dnia dążyć do tego, aby ten projekt był standardem, zgodnie z życzeniem Archibalda.
Tagi Google Chrome bezpieczeństwo w sieci
