Hjem > Cyber ​​Nyheder > CVE-2018-8235: Sikkerhed Feature Bypass Bug i Edge, patch nu!
CYBER NEWS

CVE-2018-8235: Sikkerhed Feature Bypass Bug i Edge, patch nu!

En uafhængig sikkerhed forsker har afdækket ved et uheld helt usædvanlige, høj sværhedsgrad browser sårbarhed i Microsoft Edge, identificeret som CVE-2018-8235. kort sat, sårbarheden ville give en ondsindet hjemmeside for at generobre indhold fra andre sites blot ved at spille lydfiler forkert som ville producere utilsigtede konsekvenser.

Ifølge Jake Archibald, den forsker, der udgravet fejlen, fejlen er enorm og ”det betyder, at du kan besøge min hjemmeside i Edge, og jeg kunne læse dine e-mails, Jeg kunne læse din Facebook-foder, alle uden at man ved". Forskeren døbt bug Wavethrough.

CVE-2018-8235 Officiel MITRE Beskrivelse

En sikkerhedsfunktion bypass sårbarhed eksisterer når Microsoft Edge håndterer forkert anmodninger af forskellig oprindelse, aka “Microsoft Edge Security Feature Bypass Sårbarhed.”

CVE-2018-8235: den Wavethrough Bug Forklaret

Hvornår fejlen bliver ”irriteret”? Når et ondsindet websted benytter de såkaldte service-arbejdere til at indlæse multimedieindhold i en audio-tag fra et fjerntliggende sted, i mellemtiden ved hjælp af ”range” parameteren for at indlæse en bestemt del af den samme fil.

Forskeren tilføjede også, at:

Jeg foregav at være en hacker og skrev ned alle angrebene, jeg kunne tænke på, og Anne van Kesteren påpegede, at nogle af dem var muligt uden en tjeneste arbejdstager, som du kan gøre lignende ting med omdirigeringer.

Desuden, på grund af uoverensstemmelser i den måde, browsere håndterer filer indlæst ved hjælp af servicemedarbejdere indenfor audio tags, er det muligt at indlæse indholdet inde i ondsindet websted. Normalt dette ikke ville ske som CORS (Cross-Origin ressourcedeling) kommer i billedet for at afværge websteder fra lastning ressourcer fra andre sites.

relaterede Story: Microsoft ikke Fix Edge Bug on Time - Google gør det offentlige

Men, under denne bizarre omstændigheder, den ondsindede site kan udstede ”no-cors” anmodninger, som ikke ville blive opdaget som usædvanligt ved den modtagende websted, være det Facebook eller Gmail eller nogle nyheder stikkontakt. Som et resultat, det skadeligt website kan indlæse ellers ”ikke-til-være-loaded” indhold skjult med godkendelsesprocedurer.

Firefox Delvist Påvirket af CVE-2018-8235

Den anden browser, der ser ud til at blive påvirket af denne fejl er Firefox. Chrome og Safari synes at være uberørt. Mere specifikt, kun Firefox overnatning i udvikling versioner blev ramt, men heldigvis fejlen er siden blevet rettet, og det gjorde ikke gøre det til den officielle Firefox Stabil frigivelse.

Microsoft har også taget fejl i meddelelsen fra juni 2018 Patch tirsdag.

Med hensyn til Chrome, forskeren mener, at Google lappet sårbarheden uden hensigt, når de gennemfører andre pletter i 2015 i forhold til en anden fejl.




Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...