События

Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов

Ранее в этом месяце Microsoft исправила в браузере Edge уязвимость, позволявшую вредоносным сайтам получать контент с других сайтов путем воспроизведения аудиофайлов видоизмененным способом.

«Это очень серьезный баг. Вы можете зайти на мой (PoC – ред.) сайт, и я прочитаю ваши электронные письма, ленту Facebook, и все это без вашего ведома», – пояснил обнаруживший проблему разработчик Google Джейк Арчибальд (Jake Archibald).

Уязвимость возникает, когда с помощью Service workers вредоносный сайт загружает мультимедийный контент внутри тега <audio> с удаленного сайта и при этом использует параметр «range» для загрузки только определенной части файла. Как пояснил Арчибальд, из-за несоответствий в обработке браузерами файлов, загруженных через Service workers внутри тега <audio>, на вредоносный сайт можно загрузить любой контент.

В нормальных условиях это было бы невозможно из-за реализованной в браузерах технологии Cross-Origin Resource Sharing (CORS), защищающей сайты от загрузки контента с других ресурсов. Однако конфигурация Edge позволяла сайтам злоумышленников отправлять запросы «no-cors», которые принимающие сайты (например, Facebook, Gmail или BBC) принимали без каких-либо проблем. Таким образом, вредоносный сайт мог загружать контент, скрытый за процедурами аутентификации.

Уязвимость CVE-2018-8235, названная Арчибальдом Wavethrough, затрагивала только Edge и версию для разработчиков Firefox Nightly, но не Chrome или Safari. На момент написания новости проблема была исправлена в обоих браузерах.

Cross-origin resource sharing («совместное использование ресурсов между разными источниками») – технология современных браузеров, позволяющая предоставлять web-странице доступ к ресурсам другого домена.

Источник

Автор: Сергей Куприянов
21.06.2018 (11:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.