Af Nicolai Devantier, 25/06/18
En udvikler fra Google har opdaget en alvorlig fejl i to browsere, der potentielt kan give mulighed for, at indhold fra dine web-tjenester kan stjæles.
Sårbarheden befinder sig i den metode, som browseren anvender til at håndtere forespørgsler om krydsoprindelse af video- og lydfiler. Af sikkerhedsmæssige årsager lukkes der normalt for de såkaldte cross-origin-forespørgsler i browseren fra andre domæner.
I praksis betyder det, at når du besøger en webside, kan browseren kun hente data fra det samme sted, som websiden kommer fra. Derved forhindres uautoriserede forespørgsler, der kan forsøge at fiske efter dine data.
I forbindelse med mediefiler håndterer nogle browsere dog processen anderledes, og disse filer kan derfor hentes fra forskellige domæner uden restriktioner. Mediefiler kan således stykkes sammen af flere elementer fra flere datakilder.
Det er i denne proces, der kan opstå svagheder i Firefox og Microsoft Edge, som åbner for angribere, der potentielt kan få adgang til indhold i Gmail-indbakken eller på Facebook.
Begge browsere er blevet opdateret.
Anbefaling:
Opdater Microsoft Edge og Mozilla Firefox til den nyeste version.
Links:
- Google developer discovers a critical bug in modern web browsers, artikel fra The Hacker News.
- I discovered a browser bug, blog af Jake Archibald fra Google, der opdagede svagheden.