Un investigador de seguridad independiente ha puesto al descubierto por accidente bastante inusual, la vulnerabilidad del navegador de alta severidad en Microsoft Edge, identificado como CVE-2018-8235. poco poner, la vulnerabilidad permitiría a un sitio web malicioso para recapturar el contenido de otros sitios simplemente por jugar archivos de audio de forma incorrecta que produciría consecuencias no deseadas.
De acuerdo con Jake Archibald, el investigador que desenterrado la falla, el error es enorme y “esto significa que usted puede visitar mi sitio en Edge, y podía leer sus mensajes de correo electrónico, Podía leer su feed de Facebook, todo ello sin que usted lo sepa". El investigador apodado el fallo Wavethrough.
CVE-2018-8235 Oficial MITRE Descripción
Una vulnerabilidad de seguridad de bypass existe cuando Microsoft Edge maneja inadecuadamente peticiones de diversos orígenes, aka “Microsoft Edge Recurso de Seguridad vulnerabilidad de bypass.”
CVE-2018-8235: Bug Wavethrough Explicación
¿Cuándo el fallo conseguir “irritaba”? Cuando un sitio web malicioso emplea los llamados trabajadores de servicio para cargar contenido multimedia dentro de una etiqueta de audio desde un sitio remoto, mientras tanto con el parámetro “gama” para cargar una parte específica del mismo archivo.
El investigador también añadió que:
Fingí ser un hacker y escribí todos los ataques que se me ocurrieron, y Anne van Kesteren señaló que algunos de ellos eran posibles sin un trabajador del servicio, como se puede hacer cosas similares con redirecciones.
Adicionalmente, debido a las discrepancias en la forma en navegadores manejan los archivos cargados con la ayuda de los trabajadores de servicios dentro de las etiquetas de audio, es posible cargar cualquier contenido dentro del sitio malicioso. Por lo general, esto no ocurriría como CORS (Origen cruzado de intercambio de recursos) se interpone en la imagen para evitar los sitios de carga de recursos de otros sitios.
Sin embargo, bajo estas circunstancias extrañas, el sitio malicioso puede emitir “no-cors” solicitudes que no sería detectado como inusual por el sitio de recepción, ya sea Facebook o Gmail o algún medio de comunicación. Como resultado, el sitio malicioso puede cargar de lo contrario “se va a cargar-no-a-” contenido oculto con procedimientos de autenticación.
Firefox afectadas parcialmente por CVE-2.018-8.235
El otro navegador que parece estar afectado por este error es Firefox. Chrome y Safari parecen ser virgen. Más específicamente, Sólo Firefox Nightly en desarrollo se vieron afectados versiones pero afortunadamente el error ya se ha solucionado y que no lo hacen a la versión estable oficial de Firefox.
Microsoft también ha abordado el problema de que es junio 2018 Martes de parches.
En cuanto a Chrome, el investigador cree que Google parcheado la vulnerabilidad sin intención en la aplicación de otros parches en 2015 en relación con otro error.