Chrome 浏览器漏洞让攻击者有机可乘

Chrome 浏览器漏洞让攻击者有机可乘

Google公司近期修补了Chrome浏览器中的一个漏洞,该漏洞允许攻击者通过音频或视频HTML标记从其他网站检索敏感信息。

Imperva的安全研究员Ron Masas发现了这一问题,并向谷歌报告,此漏洞标记为CVE-2018-6177。浏览器制造商在7月底修复了安全漏洞,发布了Chrome v68.0.3440.75版本。

在旧版本的Chrome浏览器中,攻击者可以通过嵌入在合法网站广告中的恶意代码,或通过攻击者可以注入和执行代码的合法网站上的漏洞(如存储的跨站点脚本缺陷)来引诱受害者。

更改音频和视频HTML标记

在今天早些时候发表的一篇文章中,Masas解释说,攻击方案需要恶意代码能够从合法网站内置音频、视频的HTML标记中加载一些内容。Masas可以推断出他从外部网站获得的响应的大小,并猜测各种类型的信息。

正常情况下,由于跨源资源共享保护机制的存在,这是不可能做到的。这种浏览器安全特征将阻止站点从其他网站加载资源,但是此次攻击狡猾的绕过了这一保护机制。

Masas 今天通过电子邮件告诉Bleeping 电脑公司,这个漏洞从本质上允许攻击者使用视频或音频标记来估计跨源资源的规模大小。

攻击可以从其他站点检索敏感的/受保护的数据

在Masas的测试中,他能够通过在公共Facebook帖子上进行“受众限制”设置来确定用户可能的年龄段和性别。

Masas告诉我们,“通过操纵像Facebook这样的网站各种大大小小的用户数据,可以持续提取到我们认为有价值的数据”。

但专门研究网络安全问题的安全研究员Mike Gualtieri表示,与Facebook简单的收集用户数据相比,攻击可以采取更有创意的办法——如定位企业后台,内联网和其他以企业为中心的应用程序。

“企业IT定制的现有架构系统可能是这类攻击的最佳目标,因为攻击者可以掌握系统内容,并可能潜在影响系统的所有用户,”Gualtieri 今天在私人谈话中告诉Bleeping电脑公司,“通常情况下,基于登录用户,这些系统在性质上十分相似,攻击者可以重点提取存储在企业网络应用程序特定区域中的敏感信息来进行攻击。”

API同样处于危险之中

此外,Gualtieri认为针对API的攻击也可能是成功的,攻击者通常无法访问这些API,但是bug允许他们将请求转发到API。

“现在想找到受弱保护的网络API的通信数据极其简单,”Gualtieri告诉我们,“足够努力的攻击者可以通过登录用户计算出一组预期请求,并以这些API响应为目标。”

例如,假设一家股票交易公司有一个暴露的API端点,它返回的内容如下:

Request: http[:]//victim/jsonapi/lasttrade/GOOGResponse: {“stock” : “GOOG”, “lasttrade” : 0, “error” : “not logged in”}

如果用户已登录,则请求可能为

{“stock” : “GOOG”, “lasttrade” : 100, “error” : false}     or,{“stock” : “GOOG”, “lasttrade” : 1000, “error” : false}

因此,你可以根据购买的一系列股票进行推断,”Gualtieri说,“这个例子对许多人来说可能听起来不切实际,但我看到太多设计糟糕或暴露不足的网络API,了解到网络上与这一假设情况类似的案列。”

攻击类似Wavethrough,但不完全相同

Masas对攻击的描述听起来似曾相识,那是因为这一攻击与3月份发布的漏洞攻击非常相似,称为Wavethrough(CVE-2018-8235),这是一个影响Edge和Firefox的漏洞。

就像Masas所说的Chrome bug一样,Wavethrough使用音频和视频标记绕过跨源资源共享保护,从其他站点加载数据并确定其内容。

两者相似的就是这些,而不同在于:“Wavethrough漏洞使用服务工作者和“范围”请求来提取原始数据,”Masas告诉Bleeping 电脑公司。“另一方面,我们观察从元素中触发的“进度”事件,以估计跨源资源的规模大小,然后利用这些信息以Facebook等网站上的限制过滤器来推断出更多与用户相关的信息。”

发现Wavethrough的Google工程师Jake Archibald也表示,即使两种攻击模式都是通过音频和视频HTML标记进行的,但他们还是有很大区别。

Archibald在今天与Bleeping电脑公司的一次私人会谈中表示:“两者有一些相似之处,但针对Chrome bug的更多的是定时攻击,而Wavethrough更称得上是一种原始模式的违规行为。”

Wavethrough会在破坏绕过跨源资源共享保护机制后检索它找到的任何数据,而Masas的漏洞不断刺激其他站点,试图猜测数据是什么。

Gualtieri告诉我们,攻击并不复杂,只是需要做一些准备。虽然Chrome bug听起来更难以利用,但事实并非如此:这样不断的猜测并不意味着Chrome bug仅限于针对某一特定用户。“基于目标站点,这种猜测可能会被用来针对多个用户,”Gualtieri说到。

因此,除非用户希望将其网络机密泄露,否则我们建议用户尽快将Chrome浏览器更新为v68.0.3440.75或更高版本。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/news/112505.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code