Casa > Cyber ​​Notizie > CVE-2018-8235: Security Feature Bypass Bug in Bordo, Patch Ora!
CYBER NEWS

CVE-2018-8235: Security Feature Bypass Bug in Bordo, Patch Ora!

Un ricercatore di sicurezza indipendente ha scoperto per caso piuttosto insolito, vulnerabilità del browser di particolare gravità e in Microsoft Edge, identificato come CVE-2018-8235. poco mettere, la vulnerabilità potrebbe consentire a un sito Web dannoso per riconquistare contenuti da altri siti, semplicemente la riproduzione di file audio in modo non corretto che produrrebbe conseguenze non intenzionali.

Secondo Jake Archibald, il ricercatore che dissotterrato il difetto, il bug è enorme e “significa che si può visitare il mio sito a bordo, e ho potuto leggere le vostre email, Ho potuto leggere il tuo feed di Facebook, il tutto senza che tu lo sappia". Il ricercatore soprannominato il bug Wavethrough.

CVE-2018-8235 Ufficiale MITRE Descrizione

Una vulnerabilità di bypass funzione di sicurezza esiste quando Microsoft Edge gestisce in modo improprio le richieste di diversa origine, aka “Sicurezza Microsoft Edge Feature vulnerabilità bypass.”

CVE-2018-8235: Bug Wavethrough Explained

Quando parte il bug ottiene “irritato”? Quando un sito web malevolo impiega i cosiddetti lavoratori dei servizi per caricare contenuti multimediali all'interno di un tag audio da un sito remoto, nel frattempo utilizzando il parametro “campo” per caricare una parte specifica dello stesso file.

Il ricercatore ha anche aggiunto che:

Ho finto di essere un hacker e annotato tutti gli attacchi mi veniva in mente, e Anne van Kesteren ha sottolineato che alcuni di loro erano possibili senza un operaio di servizio, come si possono fare cose simili con redirect.

In aggiunta, a causa di discrepanze nel modo in cui i browser gestiscono i file caricati con l'aiuto di lavoratori dei servizi all'interno di tag audio, è possibile caricare qualsiasi contenuto all'interno del sito maligno. Di solito questo non sarebbe accaduto come CORS (-Origin Resource Sharing Croce) si mette di foto per scongiurare i siti di risorse di carico da altri siti.

Story correlati: Microsoft non riesce a risolvere bug Edge Time - Google rende pubblico

Tuttavia, in questo bizzarro circostanze, il sito maligno può emettere “no-cors” le richieste che non sarebbe rilevato come inusuale dal sito ricevente, che si tratti di Facebook o Gmail o qualche presa di notizie. Di conseguenza, il sito malintenzionato può caricare contenuto altrimenti “non-to-be-caricato” a scomparsa con le procedure di autenticazione.

Firefox parzialmente interessato dalla CVE-2018-8235

L'altro browser che sembra essere colpiti da questo bug è Firefox. Chrome e Safari sembra essere intatta. Più specificamente, solo Firefox Nightly in sviluppo versioni sono stati colpiti, ma per fortuna il bug è stato poi fissato e non ce l'ha fatta per il rilascio ufficiale di Firefox stabile.

Microsoft ha anche affrontato il bug nella sua giugno 2018 Patch Martedì.

Per quanto riguarda Chrome, il ricercatore ritiene che Google patchato la vulnerabilità senza intenzione nell'attuazione altre patch in 2015 in relazione ad un altro bug.




Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo