Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов

image

Теги: Microsoft, Microsoft Edge, браузер, уязвимость, Wavethrough

Уязвимость CVE-2018-8235 затрагивала браузер Edge и версию для разработчиков Firefox Nightly.

Ранее в этом месяце Microsoft исправила в браузере Edge уязвимость, позволявшую вредоносным сайтам получать контент с других сайтов путем воспроизведения аудиофайлов видоизмененным способом.

«Это очень серьезный баг. Вы можете зайти на мой (PoC – ред.) сайт, и я прочитаю ваши электронные письма, ленту Facebook, и все это без вашего ведома», – пояснил обнаруживший проблему разработчик Google Джейк Арчибальд (Jake Archibald).

Уязвимость возникает, когда с помощью Service workers вредоносный сайт загружает мультимедийный контент внутри тега <audio> с удаленного сайта и при этом использует параметр «range» для загрузки только определенной части файла. Как пояснил Арчибальд, из-за несоответствий в обработке браузерами файлов, загруженных через Service workers внутри тега <audio>, на вредоносный сайт можно загрузить любой контент.

В нормальных условиях это было бы невозможно из-за реализованной в браузерах технологии Cross-Origin Resource Sharing (CORS), защищающей сайты от загрузки контента с других ресурсов. Однако конфигурация Edge позволяла сайтам злоумышленников отправлять запросы «no-cors», которые принимающие сайты (например, Facebook, Gmail или BBC) принимали без каких-либо проблем. Таким образом, вредоносный сайт мог загружать контент, скрытый за процедурами аутентификации.

Уязвимость CVE-2018-8235, названная Арчибальдом Wavethrough, затрагивала только Edge и версию для разработчиков Firefox Nightly, но не Chrome или Safari. На момент написания новости проблема была исправлена в обоих браузерах.

Cross-origin resource sharing («совместное использование ресурсов между разными источниками») – технология современных браузеров, позволяющая предоставлять web-странице доступ к ресурсам другого домена.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus