Ein unabhängiger Sicherheitsforscher hat durch Zufall ganz die ungewöhnlichen aufgedeckt, Hoch Schwere Browser-Schwachstelle in Microsoft Edge, identifiziert als CVE-2018-8235. Kurz setzen, die Verwundbarkeit würde eine bösartige Website ermöglichen, von anderen Websites einfach wieder zu erlangen Inhalt von Audio-Dateien falsch zu spielen, die unbeabsichtigten Konsequenzen führen würde.
Nach Jake Archibald, die Forscher, ausgegraben Der Fehler, der Fehler ist riesig und „es bedeutet, dass Sie meine Seite in Rand besuchen konnte, und ich konnte Ihre E-Mails lesen, Ich könnte deinen Facebook-Feed lesen, alle ohne dich kennen". Der Forscher der Fehler genannt Wavethrough.
CVE-2018-8235 Offizielle MITRE Beschreibung
Eine Sicherheitsfunktion Bypass Verwundbarkeit existiert wenn Microsoft Edge behandelt unsachgemäß Anfragen unterschiedlicher Herkunft, aka “Microsoft Edge Security Feature Bypass Verletzlichkeit.”
CVE-2018-8235: die Wavethrough Bug Explained
Wann kommt der Fehler „irritiert“? Wenn eine bösartige Website, die sogenannten Service-Mitarbeiter beschäftigt Multimedia-Inhalte innerhalb eines Audio-Tages von einem entfernten Standort zu laden, in der Zwischenzeit der „Bereich“ -Parameter unter Verwendung eines spezifischen Teil der gleichen Datei zu laden,.
Der Forscher fügte auch hinzu, dass:
Ich gab vor, ein Hacker zu sein und schrieb alle Angriffe ich denken konnte,, und Anne van Kesteren wies darauf hin, dass einige von ihnen ohne einen Servicemitarbeiter möglich waren, wie Sie ähnliche Dinge mit Umleitungen tun.
Außerdem, aufgrund von Unstimmigkeiten in der Art und Weise Browser Dateien geladen mit Hilfe von Service-Mitarbeitern in Audio-Tags verarbeiten, ist es möglich, Inhalte innerhalb der bösartigen Website zu laden. Normalerweise würde dies nicht geschehen, wie CORS (Cross-Origin Resource Sharing) wird in der Bild Webseiten, die auf Laderessourcen von anderen Websites zu verhindern.
Jedoch, unter diesen bizarren Umständen, die bösartige Site kann „No-cors“ Anforderungen ausgeben, die als ungewöhnlich von der Aufnahmestelle würde nicht erkannt, sei es Facebook oder Google Mail oder einige news outlet. Infolge, „Nicht-zu-sein-loaded“ Inhalt mit Authentifizierungsverfahren kann die bösartige Website lädt sonst verborgen.
Firefox Partiell Betroffen von CVE-2018-8235
Der andere Browser, der von diesem Fehler betroffen zu sein scheint, ist Firefox. Chrome und Safari erscheinen unberührt sein. Genauer, nur Firefox Nightly in-Entwicklung Versionen betroffen waren, aber zum Glück hat der Fehler seit behoben und es hat es nicht auf der offiziellen Firefox Stable Release machen.
Microsoft hat auch mit den Fehlern in seinem Juni 2018 Patchday.
In Bezug auf Chrome, Der Forscher glaubt, dass Google die Verwundbarkeit ohne Absicht gepatcht, wenn andere Patches Umsetzung in 2015 in Bezug auf einen anderen Fehler.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: