Програмер Гоогле Цхроме позива програмера да предузме мере против рањивости кроз талас

Гоогле, ЛЛЦ

Јаке Арцхибалд, програмер заговорника Гоогле Цхроме-а, открио је прилично озбиљну рањивост у савременој технологији прегледања веба која би могла да дозволи сајтовима да краду податке за пријаву, као и друге осетљиве информације. Експлоати би теоретски могли да украду информације повезане са другим веб локацијама на које сте пријављени, али тренутно не покушавате да им приступите.

Даљински нападачи могу хипотетички чак користити ову рањивост за читање садржаја е-поште којој приступате са веб интерфејса или приватних постова послатих на веб локацијама друштвених мрежа.

Технологија захтева за више порекла пружа језгро на којем би се рањивост могла теоријски надоградити. Савремени прегледачи не дозвољавају веб локацијама да упућују захтеве за више порекла, јер савремени инжењери верују да постоји неколико легитимних разлога да једна веб локација гледа информације које се нуде са друге.

Веб прегледачи нису толико посебни када је у питању преузимање других врста медијских датотека хостованих на спољном пореклу, јер је ова врста захтева нужно за учитавање стриминга аудио и видео записа.

Коду локације је обично дозвољено да учитава аудио и видео датотеке са другог домена, а да претраживач не подстиче грешку неовлашћеног захтева. Прегледачи такође могу подржати неке врсте заглавља опсега и одговора на делимично учитавање садржаја, који би требало да испоруче мале делове већег дела стриминг медија.

Према Арчибалдовом истраживању, Мицрософт Едге, Мозилла Фирефок и други савремени прегледачи могли би бити преварени да учитавају неправилне захтеве помоћу ове методе. Показало се да ови прегледачи омогућавају пробне копије непрозирних података из више извора до крајњег корисника.

Тренутно нема познатих случајева крекера који користе овај вектор напада. Ваветхроугх, како га Арцхибалд назива, већ је исправљен у Цхроме-у и Сафари-у, а да то заиста није циљано покушао. Изјавио је да би волео да ова врста безбедносне функције буде записана као стандард за прегледање, тако да би сви савремени прегледачи били имуни на рањивост.

Иако није било вести о томе да ли су Мицрософт или Мозилла одговорили на грешку, није тешко поверовати да ће закрпе бити објављене са следећим великим ажурирањем оба ова прегледача. Инжењери такође могу једног дана да форсирају да овај дизајн буде стандардан како је Арцхибалд желео.