Разработчик Google Chrome настоятельно призывает программистов принять меры против уязвимости Wavethrough

Джейк Арчибальд, разработчик адвокатов Google Chrome, обнаружил довольно серьезную уязвимость в современной технологии веб-браузинга, которая может позволить сайтам украсть детали входа, а также другую конфиденциальную информацию. Эксплоиты могли теоретически украсть информацию, связанную с другими сайтами, на которых вы вошли в систему, но в настоящее время не пытаетесь получить доступ.

Удаленные злоумышленники могут гипотетически даже использовать эту уязвимость для чтения содержимого электронной почты, которое вы получаете через веб-интерфейс или частные сообщения, отправленные вам на сайтах социальных сетей.

Технология запросов с использованием перекрестного происхождения обеспечивает ядро, которое может быть построено в теории. Современные браузеры не позволяют сайтам делать запросы с перекрестным происхождением, потому что современные инженеры считают, что существует несколько законных причин, по которым один сайт смотрит на информацию, обслуживаемую от другой.

Веб-браузеры не так уж специфичны, когда дело доходит до получения других типов медиафайлов, размещенных на внешнем корне, поскольку этот вид запроса обязательно загружает потоковое аудио и видео.

Код сайта обычно позволяет загружать аудио- и видеофайлы из другого домена, не запрашивая браузер для отображения ошибки несанкционированного запроса. Браузеры также могут поддерживать некоторые типы заголовков заголовков диапазона и частичного ответа на загрузку контента, которые, как предполагается, предоставляют небольшие куски более крупной части потокового мультимедиа.

Microsoft Edge, Mozilla Firefox и другие современные браузеры могут быть обмануты загрузкой нерегулярных запросов с использованием этого метода в соответствии с исследованиями Арчибальда. Было показано, что эти браузеры позволяют тестовым копиям непрозрачных данных из разных источников до конечного пользователя.

В настоящее время не существует каких-либо известных случаев взломщиков, использующих этот вектор атаки. Wavethrough, как называет его Арчибальд, уже исправлен в Chrome и Safari, не целенаправленно пытаясь сделать это. Он заявил, что хотел бы, чтобы эта функция безопасности была написана в виде стандартного браузера, поэтому все современные браузеры будут защищены от уязвимости.

Хотя никаких новостей о том, что Microsoft или Mozilla не ответили на ошибку, нетрудно поверить, что исправления будут выпущены со следующим крупным обновлением обоих этих браузеров. Инженеры могут также когда-нибудь настаивать на том, чтобы этот проект был стандартным, как хотел Арчибальд.

Проголосуйте за статью

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.