Google Chrome-udvikler opfordrer programmører til at handle mod bølgeproblemer

Google, LLC

Jake Archibald, Google Chromes advokatudvikler, har opdaget en temmelig alvorlig sårbarhed i moderne webbrowsingsteknologi, der kunne tillade websteder at stjæle loginoplysninger såvel som andre følsomme oplysninger. Eksploater kan teoretisk stjæle oplysninger relateret til andre websteder, som du er logget ind på, men som ikke i øjeblikket forsøger at få adgang.

Fjernangribere kunne hypotetisk endda bruge denne sårbarhed til at læse indholdet af e-mail, du får adgang til fra en webgrænseflade eller private indlæg sendt til dig på et socialt netværk.

Cross-origin-anmodningsteknologi udgør kernen, som sårbarheden kunne bygges på i teorien. Moderne browsere tillader ikke websteder at foretage krydsoprindelsesanmodninger, fordi moderne ingeniører mener, at der er få legitime grunde til, at et websted ser på information, der serveres fra et andet.

Webbrowsere er ikke så specielle, når det kommer til at hente andre typer mediefiler, der hostes uden for oprindelsen, da denne form for anmodning nødvendigvis er at indlæse streaming af lyd og video.

Stedskode er normalt tilladt at indlæse lyd- og videofiler fra et andet domæne uden at bede en browser om at vise en uautoriseret anmodningsfejl. Browsere understøtter muligvis også nogle typer rækkeviddeoverskridelser og delvise indlæsningsresponser, som formodes at levere små stykker af et større stykke streamingmedie.

Microsoft Edge, Mozilla Firefox og andre moderne browsere kunne blive narret til at indlæse uregelmæssige anmodninger ved hjælp af denne metode ifølge Archibalds forskning. Disse browsere har vist sig at tillade testkopier af uigennemsigtige data fra flere kilder til en slutbruger.

I øjeblikket er der ingen kendte forekomster af kiks, der bruger denne angrebsvektor. Bølgning, som Archibald kalder det, er allerede blevet rettet i Chrome og Safari uden virkelig målrettet at forsøge at gøre det. Han erklærede, at han ønskede, at denne form for sikkerhedsfunktion ville være blevet skrevet som en browserstandard, så alle moderne browsere ville være immune over for sårbarheden.

Selvom der ikke har været nogen nyheder om, at Microsoft eller Mozilla reagerer på fejlen, er det ikke svært at tro, at patches frigives med den næste store opdatering af begge disse browsere. Ingeniører kan også en dag presse på for, at dette design skal være standard, som Archibald ønskede.