Google, LLC
Джейк Арчибалд, разработчикът на Google Chrome, откри доста сериозна уязвимост в съвременната технология за сърфиране в мрежата, която може да позволи на сайтовете да крадат данните за вход, както и друга чувствителна информация. Експлойтите теоретично могат да откраднат информация, свързана с други сайтове, в които сте влезли, но в момента не се опитвате да получите достъп.
Отдалечените нападатели биха могли хипотетично дори да използват тази уязвимост, за да прочетат съдържанието на имейл, до който имате достъп от уеб интерфейс или частни публикации, изпратени до вас в сайтове за социални мрежи.
Технологията за заявки за кръстосан произход предоставя ядрото, върху което теорията може да бъде изградена на уязвимостта. Съвременните браузъри не позволяват на сайтовете да отправят заявки за кръстосан произход, тъй като съвременните инженери смятат, че има няколко законни причини един сайт да разглежда информацията, доставена от друг.
Уеб браузърите не са толкова особени, когато става въпрос за извличане на други видове медийни файлове, хоствани от външни източници, тъй като този вид заявка е задължително да зареди поточно аудио и видео.
Кодът на сайта обикновено има право да зарежда аудио и видео файлове от друг домейн, без да кара браузъра да показва грешка при неоторизирана заявка. Браузърите могат също така да поддържат някои типове отговори на заглавието на обхвата и частично натоварване на съдържанието, които трябва да доставят малки парчета от по-голямо парче поточна медия.
Microsoft Edge, Mozilla Firefox и други съвременни браузъри могат да бъдат подмамени да зареждат нередовни заявки, използвайки този метод, според изследванията на Archibald. Показано е, че тези браузъри позволяват пробни копия на непрозрачни данни от множество източници до краен потребител.
Понастоящем няма известни случаи на крекери, използващи този вектор на атака. Wavethrough, както го нарича Archibald, вече е коригиран в Chrome и Safari, без наистина целенасочено да се опитва да го направи. Той заяви, че би желал този вид защитна функция да бъде записана като стандарт за сърфиране, така че всички съвременни браузъри да са имунизирани срещу уязвимостта.
Въпреки че няма новини за Microsoft или Mozilla, отговорили на грешката, не е трудно да повярваме, че ще бъдат пуснати кръпки със следващата голяма актуализация на двата браузъра. Инженерите може някой ден да настояват този дизайн да бъде стандартен, както Арчибалд пожела.
Етикети Google Chrome уеб сигурност
