Razvojni programer Google Chrome poziva programere da poduzmu mjere protiv ranjivosti prolaska kroz val

Google, LLC

Jake Archibald, programer zagovornika Google Chromea, otkrio je prilično ozbiljnu ranjivost u modernoj tehnologiji pregledavanja weba koja web lokacijama može dopustiti da ukradu podatke za prijavu, kao i druge osjetljive podatke. Eksploati bi teoretski mogli ukrasti informacije povezane s drugim web lokacijama na koje ste se prijavili, ali trenutno ne pokušavate pristupiti.

Udaljeni napadači mogu hipotetički čak koristiti ovu ranjivost za čitanje sadržaja e-pošte kojoj pristupate s web sučelja ili privatnih postova poslanih na web stranicama društvenih mreža.

Tehnologija zahtjeva za višestrukim podrijetlom daje srž na kojoj bi se ranjivost mogla teoretski nadograditi. Suvremeni preglednici ne dopuštaju web lokacijama da upućuju zahtjeve za višestrukim podrijetlom jer suvremeni inženjeri vjeruju da postoji nekoliko opravdanih razloga da jedna web lokacija gleda informacije koje se poslužuju s druge.

Web preglednici nisu toliko posebni kada je u pitanju dohvaćanje drugih vrsta medijskih datoteka hostiranih na vanjskim izvorima, jer je ova vrsta zahtjeva nužna za učitavanje strujećeg audio i video zapisa.

Kodu web mjesta općenito je dopušteno učitavanje audio i video datoteka s druge domene bez traženja preglednika da prikaže neovlaštenu pogrešku zahtjeva. Preglednici mogu podržavati i neke vrste zaglavlja raspona i djelomičnog učitavanja sadržaja, koji bi trebali isporučivati ​​male dijelove većeg dijela streaming medija.

Microsoft Edge, Mozilla Firefox i drugi moderni preglednici mogli bi biti prevareni da učitavaju nepravilne zahtjeve pomoću ove metode prema istraživanju Archibalda. Pokazalo se da ovi preglednici dopuštaju probne kopije neprozirnih podataka iz više izvora do krajnjeg korisnika.

Trenutno nema poznatih slučajeva da krekeri koriste ovaj vektor napada. Wavethrough, kako ga Archibald naziva, već je ispravljen u Chromeu i Safariju, a da to zapravo nije namjerno pokušao. Izjavio je da želi da ovakva sigurnosna značajka bude zapisana kao standard pregledavanja kako bi svi moderni preglednici bili imuni na ranjivost.

Iako nije bilo vijesti o tome da su Microsoft ili Mozilla odgovorili na programsku pogrešku, nije teško povjerovati da će zakrpe biti objavljene uz sljedeće veliko ažuriranje oba preglednika. Inženjeri se također mogu jednog dana zalagati za to da ovaj dizajn bude standardan kako je Archibald želio.