Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов
Уязвимость CVE-2018-8235 затрагивала браузер Edge и версию для разработчиков Firefox Nightly.
Ранее в этом месяце Microsoft исправила в браузере Edge уязвимость, позволявшую вредоносным сайтам получать контент с других сайтов путем воспроизведения аудиофайлов видоизмененным способом. «Это очень серьезный баг. Вы можете зайти на мой (PoC – ред.) сайт, и я прочитаю ваши электронные письма, ленту Facebook, и все это без вашего ведома», – пояснил обнаруживший проблему разработчик Google Джейк Арчибальд (Jake Archibald).
Уязвимость возникает, когда с помощью Service workers вредоносный сайт загружает мультимедийный контент внутри тега <audio> с удаленного сайта и при этом использует параметр «range» для загрузки только определенной части файла. Как пояснил Арчибальд, из-за несоответствий в обработке браузерами файлов, загруженных через Service workers внутри тега <audio>, на вредоносный сайт можно загрузить любой контент.
В нормальных условиях это было бы невозможно из-за реализованной в браузерах технологии Cross-Origin Resource Sharing (CORS), защищающей сайты от загрузки контента с других ресурсов. Однако конфигурация Edge позволяла сайтам злоумышленников отправлять запросы «no-cors», которые принимающие сайты (например, Facebook, Gmail или BBC) принимали без каких-либо проблем. Таким образом, вредоносный сайт мог загружать контент, скрытый за процедурами аутентификации.
Уязвимость CVE-2018-8235, названная Арчибальдом Wavethrough, затрагивала только Edge и версию для разработчиков Firefox Nightly, но не Chrome или Safari. На момент написания новости проблема была исправлена в обоих браузерах.
Cross-origin resource sharing («совместное использование ресурсов между разными источниками») – технология современных браузеров, позволяющая предоставлять web-странице доступ к ресурсам другого домена.