ШПИОНСКИЙ WAVETHROUGH

needfortrane

Модератор
Команда форума
Автор темы #1
Специалист компании Google Джейк Арчибальд (Jake Archibald) обнаружил критическую уязвимость, представляющую угрозу для ряда современных браузеров. Проблема получила название Wavethrough и идентификатор CVE-2018-8235. Используя ее, вредоносные сайты могут похищать информацию с других ресурсов, на которых пользователь залогинен в том же браузере. Для выполнения атаки достаточно просто встроить в веб-страницу вредоносный видео- или аудиофайл, используя соответствующие HTML-теги.

Корень проблемы Wavethrough лежит в области использования технологии Cross-origin resource sharing (CORS, «совместное использование ресурсов между разными источниками»). CORS позволяет предоставить веб-странице доступ к ресурсам другого домена.

Арчибальд объясняет, что использование вредоносных service worker’ов позволяет подгружать мультимедийный контент, обозначенный тегами <video> и <audio>, из удаленного источника, а использование параметра range позволит загрузить лишь какую-то конкретную часть файла. Это было придумано для удобства загрузки больших медиафайлов или для случаев, когда скачивание файла остановили, а затем продолжили.

В нормальных обстоятельствах подобное поведение пресекает CORS. Браузеры давно запрещают сайтам использовать cross-origin-запросы, обращенные к другим доменам, без явного на то разрешения. Однако эти ограничения не распространяются на медиаконтент, размещенный в удаленном источнике. То есть возможно встроить на сайт аудио- или видеофайл с другого домена. В итоге при определенных условиях атакующие могут использовать no-cors-запросы, которые многие сайты (включая Facebook, Gmail и BBC) пропустят без проблем.

«Это означает, что, если вы откроете мой proof-of-concept сайт в браузере Edge, я смогу прочесть ваши письма или ленту Facebook без вашего ведома, — объясняет эксперт. — Баг появился, когда в браузерах реализовали имплементации range-запросов для медиаэлементов, на которые не распространялся стандарт. Эти range-запросы оказались по-настоящему полезны, поэтому браузеры использовали их, копируя поведение друг друга, но никто так и не интегрировал это в стандарт».

В итоге атака будет выглядеть следующим образом. Злоумышленник размещает на своем сайте медиаконтент, который при проигрывании загружается с этого сервера лишь частично. Затем сайт просит браузер извлечь оставшуюся часть файла из другого источника, принуждая его выполнить cross-origin-запрос. Запрос, который должен быть запрещен, обрабатывается, и атакующий получает возможность похитить пользовательские данные.

Перед проблемой Wavethrough уязвимы не все браузеры, только Mozilla Firefox и Microsoft Edge. Chrome и Safari вне опасности, и Арчибальд полагает, что в Chrome проблема Wavethrough была устранена еще в 2015 году, по воле случая. Тогда разработчики исправляли другую уязвимость, связанную с параметром range и мультимедийным контентом.

В настоящее время обновления выпущены для обоих уязвимых браузеров. При этом Арчибальду пришлось потрудиться, чтобы донести всю опасность проблемы до разработчиков Microsoft Edge. Подробно об этом специалист рассказал в своем блоге.

Proof-of-concept атаки можно увидеть здесь. Также исследователь создал специальный сайт, на котором пользователи уязвимых версий Mozilla Firefox и Microsoft Edge могут посмотреть на демонстрацию работы бага своими глазами.

Юристы Telegram подали вторую жалобу
Юристы правозащитной организации «Агора», представляющей интересы Telegram, подали вторую жалобу в Европейский суд по правам человека.

proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2018%2F06%2F175491%2FChikov.jpg&hash=2575e59857c4bc4e0c1fbdaf675f7ffa

«В результате ограничения доступа к Telegram, возможность свободно распространять и получать информацию может потерять не только Заявитель [Telegram], но также до 15 миллионов пользователей могут лишиться доступа к безопасному сервису интернет-коммуникаций, а также огромному архиву уникальной информации, которая не может быть получена из других источников.

Заявитель подчеркивает, что в его деле российские власти даже не пытались установить баланс между необходимостью противодействия терроризму и обеспечения общественной безопасности и защитой прав граждан на уважение частной жизни и права Заявителя на распространение информации»

— глава «Агоры» Павел Чиков в своем Telegram-канале

У вас нет прав на просмотр ссылки. Войдите или зарегистрируйтесь.
 
Сверху