En Chrome-browseren sårbarhed kendt under CVE-2018-6177 identifikator, for nylig opdaget af Imperva forsker Ron Masas, var bare lappet af Google. Sikkerheden brist kan give en hacker at hente følsomme data fra hjemmesider ved hjælp af lyd eller video HTML-tags.
Tekniske Detaljer om CVE-2018-6177
I sin opdagelse, masserne ”Var i stand til at bruge video / audio HTML5-tags til at få en temmelig god vurdering af et kors oprindelse ressource størrelse, da der ikke er validering på indholdet ressource type er det muligt at estimere enhver ressource".
Forskeren opdagede også, at, af ingeniørmæssige sites til at returnere et diffеrent respons størrelse afhængig af de logget brugeregenskaber, det er muligt at bruge denne metode til at udvinde værdifulde oplysninger:
For eksempel hvis en social networking site lade sine brugere at oprette offentlige indlæg til en bestemt målgruppe, lad os sige kun for folk i alderen 24. en hacker kan oprette flere stillinger for hver alder; Så ved hjælp af skjulte video tags han kunne anmode hver ressource; siden ved hjælp af denne metode giver os et skøn over den ressource størrelse, det ville være muligt for en hacker at udtrække logget social networking bruger webstedet nøjagtige alder på få sekunder, forskeren sagde.
Hvordan er CVE-2018-6177 Exploited
CVE-2018-6177 kan udnyttes i ældre versioner af Chrome. Exploit er muligt i de tilfælde, hvor en hacker succes tricks et potentielt offer til at besøge et ondsindet websted. Som forklaret af forskeren, et typisk angreb scenarie ville kræve skadelig kode, der indlæser indhold fra legitime websteder inde lyd og video HTML-tags.
Dette sker som regel via malvertising teknikker eller via sårbarheder på legitime websteder, der tillader angribere at indsprøjte og udføre ondsindet kode. Den anden type angreb sker ved hjælp af lagrede scripting fejl cross-site (XSS).
Heldigvis, fejlen er allerede blevet fastsat til slutningen af juli med udgivelsen af Chrome v68.0.3440.75.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: