Een onafhankelijke security-onderzoeker heeft blootgelegd door een ongeval heel de ongebruikelijke, zeer ernstige browser kwetsbaarheid in Microsoft Edge, geïdentificeerd als CVE-2018-8235. binnenkort zetten, de kwetsbaarheid zou een kwaadwillende website te heroveren content van andere sites gewoon door het spelen van audiobestanden verkeerd die onbedoelde gevolgen zou opleveren.
Volgens Jake Archibald, de onderzoeker die opgegraven de fout, de bug is enorm en “het betekent dat je kon mijn site in Edge bezoeken, en ik kon uw e-mails te lezen, Ik kan uw Facebook-feed lezen, alles zonder dat je het weet". De onderzoeker noemde de bug Wavethrough.
CVE-2018-8235 Officiële MITRE Beschrijving
Een beveiligingsfunctie omzeilen kwetsbaarheid bestaat wanneer Microsoft Edge verkeerd behandelt verzoeken van verschillende oorsprong, aka “Microsoft Edge beveiligingsvoorziening Bypass Vulnerability.”
CVE-2018-8235: de Wavethrough Bug Explained
Wanneer is de bug te krijgen “geïrriteerd”? Wanneer een kwaadaardige website maakt gebruik van de zogenaamde service werknemers om multimedia-inhoud binnen een audio-tag laden van een externe site, in de tussentijd met de parameter “range” naar een specifiek deel van het zelfde bestand te laden.
De onderzoeker voegde dat:
Ik deed alsof ik een hacker te zijn en schreef alle aanvallen die ik kon bedenken, en Anne van Kesteren wees erop dat een aantal van hen waren mogelijk zonder een dienst werknemer, zoals u soortgelijke dingen met redirects kan doen.
Bovendien, als gevolg van verschillen in de manier waarop browsers omgaan met bestanden geladen met de hulp van de dienst werknemers binnen audio-tags, is het mogelijk om alle content in de kwaadaardige site te laden. Normaal zou dit niet gebeuren als CORS (Cross-Origin Resource Sharing) krijgt in de afbeelding om deze sites uit het laden van de middelen van andere sites af te wenden.
Echter, op grond van deze bizarre omstandigheden, de kwaadaardige site kunnen uitgeven “no-kor” verzoeken die niet zo ongebruikelijk zou worden gedetecteerd door de ontvangende website, of het nu Facebook of Gmail of wat nieuws outlet. Dientengevolge, de kwaadaardige site kan anders “not-to-be-loaded” content verborgen met authenticatie procedures te laden.
Firefox Gedeeltelijk Beïnvloed door CVE-2018-8235
De andere browser die lijkt te worden beïnvloed door deze bug is Firefox. Chrome en Safari lijken onaangeroerd te zijn. Specifieker, alleen Firefox Nightly in-ontwikkeling versies werden getroffen, maar gelukkig is de bug is sindsdien vast en het werkte niet het maken van de officiële Firefox stabiele release.
Microsoft heeft ook aan de orde van de bug in zijn juni 2018 Patch Tuesday.
Met betrekking tot Chrome, de onderzoeker van mening dat Google gepatcht de kwetsbaarheid zonder de bedoeling bij de uitvoering van andere patches in 2015 ten opzichte van een andere bug.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: