______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Уязвимость Edge позволяет извлекать личные данные.

уязвимость Wavethrough

Мы все знаем, что Microsoft недавно запустила массивный «пакет исправлений уязвимостей», где она выпустила патчи для около 50 уязвимостей, включая патч для уязвимости обхода блокировки экрана Кортаны. Однако не многие знают о «всех» этих уязвимостях, для которых Корпорация Майкрософт выпустила исправления. Было также странно, что они выпустили патчи вместе для 50 различных ошибок. Похоже, что команда молча работает над тем, как решить различные проблемы, о которых им сообщили за последние месяцы. Теперь независимый исследователь безопасности раскрыл один такой вопрос. Он называет ее уязвимость Wavethrough.

Это был просто еще один день, когда Джейк Арчибальд, независимый исследователь безопасности, случайно наткнулся на уязвимость браузера. Во время работы он обнаружил ошибку в браузерах Firefox и Microsoft Edge, которую назвал Wavethrough. Он был назван так потому, что он эксплуатировал WAV аудио в браузерах. Таким образом, позволяя ему доступ к данным браузера, которые в противном случае должны оставаться скрытыми.

По словам Джейка Арчибальда, уязвимость связана с эксплуатацией сервисных работников для загрузки мультимедийного контента внутри аудио тега с удаленного канала, а также с использованием параметров «диапазона» для достижения определенного раздела этого файла.

Параметры диапазона помогают браузерам возобновить загрузку, особенно когда пользователь переходит к другому разделу файла. Таким образом, это экономит время пользователя от загрузки всего файла. Как пояснил исследователь…

«Браузеры используют это для возобновления загрузки, но это также используется элементами мультимедиа, если пользователь ищет носитель, поэтому он может перейти прямо к этому моменту, не загружая все, что перед ним, или подобрать метаданные, если это один из тех раздражающих форматов мультимедиа, который имеет важные метаданные в конце файла.”

Говоря о вреде, связанном с этой уязвимостью, исследователь говорит…

» Я взволнован этим, это огромная ошибка. Это означает, что вы можете посетить мой сайт в Edge, и я мог читать ваши электронные письма, я мог читать ваш канал Facebook, все без вашего ведома.”

Исследователь заметил уязвимость Wavethrough в браузерах Firefox и Microsoft Edge. Затем он сообщил о недостатке, после чего Firefox быстро исправил его. Тем не менее, у него были некоторые проблемы общения с Microsoft по этому вопросу.

Прежде чем кто-либо сможет воспользоваться этой уязвимостью, Microsoft выпустила патч для нее. Microsoft назвала его «Microsoft Edge Security Feature Bypass Vulnerability» с номером cve-2018-8235, который был помечен как «важный». Все пользователи Microsoft Edge должны убедиться, что их браузеры обновлены до последней версии, чтобы оставаться защищенными от этого недостатка.

HACKFIX.RU

 

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх