Casa > Cyber ​​Notizie > CVE-2018-6177 Chrome Bug consente agli hacker di rubare dati sensibili tramite tag HTML
CYBER NEWS

CVE-2018-6177 Chrome bug consente agli hacker di rubare dati sensibili tramite tag HTML

Una vulnerabilità del browser Chrome conosciuto sotto l'identificatore CVE-2018-6177, recentemente scoperto da Imperva ricercatore Ron Masas, è stato appena patchato da Google. La falla di sicurezza potrebbe consentire a un utente malintenzionato di recuperare i dati sensibili da siti web utilizzando audio o video tag HTML.




Dettagli tecnici di CVE-2018-6177

Nella sua scoperta, masse “È stato in grado di utilizzare i video / audio tag HTML5 per ottenere una buona stima di una grandezza risorsa origine croce, poiché non v'è alcuna convalida sul tipo di contenuto di risorsa è possibile stimare qualsiasi risorsa".

Il ricercatore ha anche scoperto che, dai siti di ingegneria per restituire una dimensione di risposta diffеrent a seconda delle proprietà dell'utente attualmente connessi, è possibile utilizzare questo metodo per estrarre informazioni preziose:

Per esempio, se un sito di social networking consentono agli utenti di creare i suoi incarichi pubblici ad un pubblico specifico, diciamo solo per le persone in età di 24. un utente malintenzionato può creare più posti per ogni età; Quindi, utilizzando tag video nascosti avrebbe potuto richiedere ogni risorsa; dal momento che con questo metodo ci dà una stima delle dimensioni delle risorse sarebbe possibile per un utente malintenzionato di estrarre attualmente connesso utente del sito di social networking età esatta in pochi secondi, il ricercatore disse.

Come viene CVE-2018-6177 Exploited

CVE-2018-6177 può essere sfruttata nelle vecchie versioni di Chrome. Exploit è possibile nei casi in cui un utente malintenzionato con successo trucchi una potenziale vittima a visitare un sito malevolo. Come spiegato dal ricercatore, un tipico scenario di attacco richiederebbe codice maligno che carica contenuti da siti legittimi all'interno audio e video tag HTML.

Story correlati: Google Chrome bloccherà di terze parti estensioni del sito di installazione

Questo avviene di solito tramite tecniche Malvertising o tramite le vulnerabilità sui siti legittimi che consentono agli aggressori di iniettare ed eseguire codice dannoso. Il secondo tipo di attacco si verifica con l'aiuto di memorizzati difetti cross-site scripting (XSS).

Per fortuna, il bug è già stato fissato a fine luglio con il rilascio di Chrome v68.0.3440.75.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo