Google Chrome-utvecklare uppmanar programmerare att vidta åtgärder mot svag sårbarhet

Google, LLC

Jake Archibald, Google Chromes advokatutvecklare, har upptäckt en ganska allvarlig sårbarhet i modern webbläsningsteknik som kan tillåta webbplatser att stjäla inloggningsuppgifter samt annan känslig information. Utnyttjande kan teoretiskt stjäla information relaterad till andra webbplatser som du har loggat in men som för närvarande inte försöker komma åt.

Fjärranfallare kan hypotetiskt till och med använda denna sårbarhet för att läsa innehållet i e-postmeddelandet du får åtkomst från ett webbgränssnitt eller privata inlägg som skickas till dig på sociala nätverkssajter.

Cross-origin-förfrågansteknik utgör kärnan som sårbarheten kan byggas på i teorin. Moderna webbläsare tillåter inte webbplatser att göra begäranden om ursprung eftersom moderna ingenjörer anser att det finns få legitima skäl för en webbplats att titta på information som serveras från en annan.

Webbläsare är inte så speciella när det gäller att hämta andra typer av mediefiler som finns på utsidan, eftersom denna typ av begäran nödvändigtvis är att ladda direktuppspelning av ljud och video.

Webbplatskod tillåts vanligtvis att ladda ljud- och videofiler från annan domän utan att en webbläsare uppmanas att visa ett obehörigt förfrågningsfel. Webbläsare kan också stödja vissa typer av intervallhuvud och partiella innehållsbelastningssvar, som ska leverera små bitar av en större del av strömmande media.

Microsoft Edge, Mozilla Firefox och andra moderna webbläsare kan luras till att ladda oregelbundna förfrågningar med den här metoden enligt Archibalds forskning. Dessa webbläsare har visat sig tillåta testkopior av ogenomskinlig data från flera källor till en slutanvändare.

För närvarande finns det inga kända förekomster av crackers som använder denna attackvektor. Wavethrough, som Archibald kallar det, har redan korrigerats i Chrome och Safari utan att verkligen försöka göra det. Han uppgav att han önskade att denna typ av säkerhetsfunktion skulle ha skrivits in som en surfstandard så att alla moderna webbläsare skulle vara immuna mot sårbarheten.

Det har inte kommit några nyheter om att Microsoft eller Mozilla svarar på felet, men det är inte svårt att tro att korrigeringar kommer att släppas med nästa stora uppdatering av båda dessa webbläsare. Ingenjörer kan också en dag driva på att denna design ska vara standard som Archibald önskade.