Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

Все инфопродукты и приватная информация бесплатно

Вернуться   Proxy-Base Community - Анонимность и безопасность в интернете. > Proxy-Base - Information > Новости IT

Ответ
 
LinkBack Опции темы Поиск в этой теме Опции просмотра
Старый 21.06.2018, 12:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 696
Member ID: 35426

Репутация: 18
Репутация: 18
Сказал(а) спасибо: 0
Поблагодарили 6 раз(а) в 6 сообщениях
Топикстартер (автор темы) По умолчанию Уязвимость в Edge позволяла вредоносным сайтам получать доступ к контенту других ресурсов

Ранее в этом месяце Microsoft исправила в браузере Edge уязвимость, позволявшую вредоносным сайтам получать контент с других сайтов путем воспроизведения аудиофайлов видоизмененным способом.

«Это очень серьезный баг. Вы можете зайти на мой (PoC – ред.) сайт, и я прочитаю ваши электронные письма, ленту Facebook, и все это без вашего ведома», – пояснил обнаруживший проблему разработчик Google Джейк Арчибальд (Jake Archibald).

Уязвимость возникает, когда с помощью Service workers вредоносный сайт загружает мультимедийный контент внутри тега с удаленного сайта и при этом использует параметр «range» для загрузки только определенной части файла. Как пояснил Арчибальд, из-за несоответствий в обработке браузерами файлов, загруженных через Service workers внутри тега , на вредоносный сайт можно загрузить любой контент.

В нормальных условиях это было бы невозможно из-за реализованной в браузерах технологии Cross-Origin Resource Sharing (CORS), защищающей сайты от загрузки контента с других ресурсов. Однако конфигурация Edge позволяла сайтам злоумышленников отправлять запросы «no-cors», которые принимающие сайты (например, Facebook, Gmail или BBC) принимали без каких-либо проблем. Таким образом, вредоносный сайт мог загружать контент, скрытый за процедурами аутентификации.

Уязвимость CVE-2018-8235, названная Арчибальдом Wavethrough, затрагивала только Edge и версию для разработчиков Firefox Nightly, но не Chrome или Safari. На момент написания новости проблема была исправлена в обоих браузерах.

Cross-origin resource sharing («совместное использование ресурсов между разными источниками») – технология современных браузеров, позволяющая предоставлять web-странице доступ к ресурсам другого домена.

Источник: https://www.securitylab.ru/news/494039.php
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Уязвимость в Gmail позволяла заблокировать доступ к электронной почте Proxy-Base-News Новости IT 0 12.01.2018 19:10
Уязвимость в F5 BIG-IP позволяет получить доступ к зашифрованным сообщениям Proxy-Base-News Новости IT 0 21.11.2017 00:10
Уязвимость в iOS позволяет подменить приложение вредоносным Proxy-Base-News Новости IT 0 03.06.2016 01:10
Уязвимость Facebook позволяла захватывать аккаунты на других сайтах Proxy-Base-News Новости IT 0 28.04.2016 11:00
Уязвимость в Yahoo! позволяла без труда подменять имя отправителя письма Proxy-Base-News Новости IT 0 16.03.2016 13:10




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.