Microsoft Edge-brukere bør lappe for å unngå dataskraping av bølgjethetssårbarhet

Microsoft bruker over 1 milliard dollar hvert år på nettbasert sikkerhetsinnovasjon Azure Government CISO Matthew Rathbun og Relativity CSO Amanda Fennell forklarer hvordan Azure bruker kunstig intelligens for å forsvare forretningsinfrastruktur.

En sårbarhet i Microsofts Edge-nettleser som gjør det mulig for et ondsinnet nettsted å få tilgang til innholdet på andre websider, uavhengig av om de ble åpnet i nettleseren den gangen, ble oppdatert som en del av juni 2018-runden med oppdateringer om tirsdag. Sårbarheten knytter seg til oppførselen til å bruke tjenestearbeidere til å laste innhold på en eller tagg fra et eksternt nettsted, samtidig som du bruker parameteren "rekkevidde" for å hoppe til en bestemt seksjon i filen.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Ifølge Jake Archibald, Google-ansatt som fant sårbarheten, "dette er en enorm feil. Det betyr at du kunne besøke nettstedet mitt i Edge, og jeg kunne lese e-postene dine, jeg kunne lese Facebook-feeden din, alt uten at du visste." Archibald bemerket at han navngav sårbarheten Waveththrough fordi "det innebærer bølgelyd, og data er tillatt gjennom det skal ikke være, " mens han bemerket trenden med å gi sårbarheter "et ekstremt lite navn og logo." Wavethrough er tildelt ID CVE-2018-8235.

Omfangsparameteren er den instrumentale delen av dette sikkerhetsproblemet. Under normale omstendigheter brukes dette til å fortsette nedlastinger, og i medieelementer når brukeren navigerer til et annet punkt i en fil, og forhindrer behovet for at hele filen blir lastet ned før nettleseren kan hoppe til ønsket punkt. Archibald påpeker at ved bruk av servicemedarbeidere ble rekkeviddeparameteren utelatt, fordi medieelementer bruker "no-cors" -forespørsler. Archibald gir en kortfattet oppsummering av konseptet:

Som det er, er rekkeviddeparameteren standardisert i HTTP, men ikke i HTML, noe som får forskjellige nettlesere til å tolke dette konseptet annerledes. Archibalds bevis på konsept er avhengig av å blande kjente og ukjente data kombinert med en omdirigering. Av de fire store nettleserne avviste Chrome og Safari forespørselen, mens Beta og Nightly-versjoner av Firefox bare avslørte lengden på den forespurte ressursen, ikke noe av det tilknyttede innholdet. Ingen stabil versjon av Firefox er sårbar, selv om Archibald bemerker at problemet ble løst innen timer etter feilrapporten.

I Edge derimot tillater nettleseren at den resulterende lyden blir ført gjennom nettlyd-API-en, hvorfra den kan transformeres tilbake til en streng for å få sideinnholdet, noe som ble demonstrert i dette proof-of-concept for å skrape data fra BBC News.

Archibald bemerker at kommunikasjonen med Edge-teamet hos Microsoft var en øvelse i frustrasjon, ettersom Microsoft Security-teamet hevdet å ikke ha tilgang til Edge bug tracker, og ønsket at detaljene skulle limes inn i en e-post.

Dagen etter ba de om kildekoden til angrepet, som Archibald-notater ellers ville vært synlige hvis de brukte "Vis kilde" -knappen. Etter dette var det ingen kommunikasjon fra Microsoft på 20 dager, noe som fikk Archibald til å be to medlemmer av Edge-teamet privat om det. I resultatet mottok Archibald en e-post om at Microsoft "utviklet en løsning", etterfulgt av ytterligere 14 dager med stillhet. Etter å ha klaget på Twitter, svarte Edge sikkerhetsingeniør Jun Kokatsu og diskuterte privat hvordan fiksen ble utviklet.

Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • En feil som tillot en ondsinnet aktør å få tilgang til vilkårlige data i Microsoft Edge ble oppdaget, og har blitt lappet i oppdateringen tirsdag juni 2018.
  • Problemet berører ikke Chrome eller Safari, og det ble bare funnet å påvirke versjoner av Firefox på forhånd.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com