A Google Chrome fejlesztője sürgeti a programozókat, hogy tegyenek lépéseket az áttörés által okozott biztonsági rés ellen

Google, LLC

Jake Archibald, a Google Chrome szószóló-fejlesztője meglehetősen súlyos sebezhetőséget fedezett fel a modern webböngészési technológiában, amely lehetővé teheti a webhelyek számára a bejelentkezési adatok és egyéb érzékeny információk ellopását. Az Exploits elméletileg ellophat olyan információkat, amelyek kapcsolódnak más webhelyekhez, amelyekbe bejelentkezett, de jelenleg nem próbál meg hozzáférni.

A távoli támadók feltételezhetően akár ezt a biztonsági rést is felhasználhatják, hogy elolvassák a webes felületről hozzáférett e-mailek tartalmát vagy a közösségi oldalakon elküldött privát bejegyzéseket.

A származáskérés technológiája biztosítja azt a magot, amelyre a sebezhetőség elméletileg épülhet. A modern böngészők nem engedélyezik a webhelyek számára, hogy kereszt-eredetű kérelmeket nyújtsanak be, mert a modern mérnökök úgy vélik, hogy kevés jogos oka van annak, hogy az egyik webhely a másikról szolgáltatott információkat nézze meg.

A webböngészők nem annyira különösek, ha más típusú, külső forrásból tárolt médiafájlokat akarnak lekérni, mivel ez a fajta kérés szükségszerűen a hang és videó streaming letöltésére irányul.

A webhelykód általában megengedett más tartományból származó audio- és videofájlok betöltése nélkül, anélkül, hogy a böngészőt engedély nélküli kérési hiba megjelenítésére kéri. A böngészők támogathatnak bizonyos típusú tartományfejléceket és részleges tartalomterhelési válaszokat is, amelyek állítólag apró darabokat juttatnak el egy nagyobb streaming adathordozóból.

Az Archibald kutatásai szerint a Microsoft Edge, a Mozilla Firefox és más modern böngészők becsaphatnák a szabálytalan kérelmek betöltését ezzel a módszerrel. Kimutatták, hogy ezek a böngészők lehetővé teszik az átlátszatlan adatok tesztmásolatait több forrásból a végfelhasználóig.

Jelenleg nem ismert olyan eset, amikor crackerek használnák ezt a támadóvektort. A Wavethrough, ahogy Archibald nevezi, már javított a Chrome-ban és a Safari-ban anélkül, hogy valóban céltudatosan megpróbálta volna megtenni. Kijelentette, hogy szeretné, ha az ilyen típusú biztonsági funkciót böngészési szabványként írták volna be, így minden modern böngésző immunis lenne a sebezhetőségre.

Bár nem érkezett hír arról, hogy a Microsoft vagy a Mozilla reagálna-e a hibára, nem nehéz elhinni, hogy mindkét böngésző következő jelentős frissítésével javítások kerülnek kiadásra. A mérnökök valamikor arra is törekedhetnek, hogy ez a kialakítás az Archibald kívánsága szerint szabványos legyen.