En uafhængig sikkerhed forsker har afdækket ved et uheld helt usædvanlige, høj sværhedsgrad browser sårbarhed i Microsoft Edge, identificeret som CVE-2018-8235. kort sat, sårbarheden ville give en ondsindet hjemmeside for at generobre indhold fra andre sites blot ved at spille lydfiler forkert som ville producere utilsigtede konsekvenser.
Ifølge Jake Archibald, den forsker, der udgravet fejlen, fejlen er enorm og ”det betyder, at du kan besøge min hjemmeside i Edge, og jeg kunne læse dine e-mails, Jeg kunne læse din Facebook-foder, alle uden at man ved". Forskeren døbt bug Wavethrough.
CVE-2018-8235 Officiel MITRE Beskrivelse
En sikkerhedsfunktion bypass sårbarhed eksisterer når Microsoft Edge håndterer forkert anmodninger af forskellig oprindelse, aka “Microsoft Edge Security Feature Bypass Sårbarhed.”
CVE-2018-8235: den Wavethrough Bug Forklaret
Hvornår fejlen bliver ”irriteret”? Når et ondsindet websted benytter de såkaldte service-arbejdere til at indlæse multimedieindhold i en audio-tag fra et fjerntliggende sted, i mellemtiden ved hjælp af ”range” parameteren for at indlæse en bestemt del af den samme fil.
Forskeren tilføjede også, at:
Jeg foregav at være en hacker og skrev ned alle angrebene, jeg kunne tænke på, og Anne van Kesteren påpegede, at nogle af dem var muligt uden en tjeneste arbejdstager, som du kan gøre lignende ting med omdirigeringer.
Desuden, på grund af uoverensstemmelser i den måde, browsere håndterer filer indlæst ved hjælp af servicemedarbejdere indenfor audio tags, er det muligt at indlæse indholdet inde i ondsindet websted. Normalt dette ikke ville ske som CORS (Cross-Origin ressourcedeling) kommer i billedet for at afværge websteder fra lastning ressourcer fra andre sites.
Men, under denne bizarre omstændigheder, den ondsindede site kan udstede ”no-cors” anmodninger, som ikke ville blive opdaget som usædvanligt ved den modtagende websted, være det Facebook eller Gmail eller nogle nyheder stikkontakt. Som et resultat, det skadeligt website kan indlæse ellers ”ikke-til-være-loaded” indhold skjult med godkendelsesprocedurer.
Firefox Delvist Påvirket af CVE-2018-8235
Den anden browser, der ser ud til at blive påvirket af denne fejl er Firefox. Chrome og Safari synes at være uberørt. Mere specifikt, kun Firefox overnatning i udvikling versioner blev ramt, men heldigvis fejlen er siden blevet rettet, og det gjorde ikke gøre det til den officielle Firefox Stabil frigivelse.
Microsoft har også taget fejl i meddelelsen fra juni 2018 Patch tirsdag.
Med hensyn til Chrome, forskeren mener, at Google lappet sårbarheden uden hensigt, når de gennemfører andre pletter i 2015 i forhold til en anden fejl.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: