谷歌開發人員在多款瀏覽器中發現嚴重漏洞 包括火狐和Edge

谷歌Chrome的開發人員在多款網頁瀏覽器中發現了一個嚴重的漏洞，它駐留在瀏覽器處理視頻和音頻文件的跨域請求的方式中，如果被利用，甚至可能允許遠程攻擊者甚至讀取你的Gmail或Facebook私人消息的內容。 出于安全原因，現代網頁瀏覽器不允許網站向不同的域發出跨源請求，除非任何域明確允許。這意味著，如果你訪問瀏覽器上的一個網站，它只能從網站加載的相同來源請求數據，以防止它以你的名義發出任何未經授權的請求，企圖從其他網站竊取你的數據。 然而，當瀏覽器在獲取其他來源的媒體文件時，不會以相同的方式做出響應，允許你訪問的網站無限制地加載來自不同域的音頻或視頻文件。 此外，瀏覽器還支持范圍標頭和部分內容響應，允許網站提供大型媒體文件的部分內容，這在播放大型媒體或下載具有暫停和恢復功能的文件時非常有用。 換句話說，媒體元素有能力將多個響應組合在一起，并將其視為單個資源。 然而，Archibald發現，Mozilla FireFox和Microsoft Edge允許媒體元素將來自多個源的可見和不透明數據或不透明數據混合在一起，從而為攻擊者留下了一個復雜的攻擊向量。 在本周三（6月20日）發布的博客文章中，Archibald詳細介紹了這個漏洞，他將其命名為“Wavethrough”，解釋了攻擊者如何利用這一特性來繞過瀏覽器所實施的防止跨源請求的保護。 “當瀏覽器實現對媒體元素的范圍請求時，錯誤就開始出現了，這些范圍請求確實很有用，所有瀏覽器都是通過相互復制行為來實現的，但沒有人將其集成到標準中。”Archibald解釋說。 根據Archibald的說法，這個漏洞可以被惡意網站利用，在其網頁上使用嵌入式媒體文件，如果播放，它只會從自己的服務器上提供部分內容，并要求瀏覽器從不同的來源獲取文件的其余部分，迫使瀏覽器發出一個跨域請求。 第二個請求實際上是一個跨源請求，應該加以限制，因為媒體文件允許混合可見和不透明數據，允許一個網站從另一個網站竊取內容。 Archibald說：“我創建了一個可以完成上述工作的網站，我使用了一個PCM WAV標頭，因為標頭之后的所有內容都是有效的數據，而Facebook返回的任何內容都將被視為未壓縮的音頻。” Archibald還發布了一段視頻和一個POC，演示惡意網站如何從Gmail和Facebook等網站獲取你的私人內容。當你的瀏覽器為你加載惡意網站時，它們的響應將是相同的。 由于Chrome和Safari已經有了相應的策略，一旦它們看到底層內容在請求之間發生變化后出現任何重定向，它們的用戶就會受到保護。 “這就是標準為什么重要的原因，我相信Chrome早在很久以前就有過類似的安全問題，但不應該僅在Chrome中進行修復，而是應該將修補程序寫入標準，并且應該為其他瀏覽器編寫測試以檢查。”Archibald說。 在Archibald負責任地向安全團隊報告之后，發現易受此問題影響的FireFox和Edge瀏覽器也在其最新版本中修復了漏洞。 因此，強烈建議FireFox和Edge瀏覽器用戶確保自己正在運行的瀏覽器是最新版本。 來源：黑客視界