ειδήσεις

Το Wavethrough απειλεί τους browsers

Ο browser – ελληνιστί “περιηγητής ιστού” – αποτελεί το θεμέλιο λίθο της σύγχρονης χρήσης των ηλεκτρονικών συστημάτων. Το μεγαλύτερο ποσοστό των εργασιών που πραγματοποιούνται με χρήση ενός ηλεκτρονικού υπολογιστή συμβαίνει με τη χρήση κάποιου περιηγητή ιστού.
Ένας ερευνητής ασφαλείας της Google ανακάλυψε μια σοβαρή ευπάθεια στους σύγχρονους περιηγητές ιστού η οποία θεωρητικά επιτρέπει σε ιστοσελίδες τις οποίες επισκέπτεται ο χρήστης, να υποκλέψουν προσωπικά δεδομένα από λογαριασμούς στους οποίους έχει συνδεθεί.
Ο ερευνητής, εν ονόματι Jake Archibald, παρουσίασε την ευπάθεια ως μια cross-site vulnerability την οποία ονόμασε Wavethrough. Συγκεκριμένα, στη διαδικασία με την οποία οι περιηγητές φορτώνουν δεδομένα ήχου και βίντεο από τρίτους συμβαίνει ένας λάθος χειρισμός ο οποίος θα επέτρεπε σε έναν κακόβουλο χρήστη να διαβάσει ακόμα και το περιεχόμενο του Gmail ή του Facebook λογιαριασμού ενός χρήστη.
Παρόλο που οι σύγχρονοι περιηγητές δεν επιτρέπουν τα cross-origin requests μεταξύ ιστοσελίδων, υπάρχουν ορισμένες εξαιρέσεις οι οποίες υποβάλλονται από συγκεκριμένες ιστοσελίδες. Δηλαδή, δύναται να πραγματοποιηθεί μια τέτοια διασύνδεση όταν η ιστοσελίδα η οποία επισκέπτεται ο χρήστης ζητήσει να επιτραπεί.
Ακόμη, οι περιηγητές δεν έχουν κάποιο μηχανισμό προστασίας απέναντι στα cross-origin requests τα οποία αφορούν ψηφιακά αρχείο βίντεο, εικόνας και ήχου, επιτρέποντας το site να φορτώνει από οποιαδήποτε πηγή οτιδήποτε media file επιθυμεί.
Αυτός ο τρόπος άντλησης δεδομένων σύμφωνα με τον Archibald μπορεί να προκαλέσει σωρό προβλημάτων. Μια κακόβουλη ιστοσελίδα μπορεί να εισάγει σε μια σελίδα της ένα ενσωματωμένο αρχείο βίντεο (embedded file) το οποίο όταν αναπαραχθεί, χρησιμοποιεί μέρος δεδομένων από τον γονικό server (αυτόν που φιλοξενείται η εν λόγω ιστοσελίδα) αλλά ταυτόχρονα ζητά τα υπόλοιπα δεδομένα από μια διαφορετική πηγή. Ο εν λόγω χειρισμός επιτρέπει ουσιαστικά σε μια ιστοσελίδα να υποκλέψει δεδομένα από μια δεύτερη, δεδομένα τα οποία θα μπορούσαν να υπάγονται στην κατηγορία των προσωπικών δεδομένων του χρήστη.
Ο Archibald με τη δημοσίευσή του ενημέρωσε τις αντίστοιχες ομάδες ασφαλείας που ευθύνονται για την εύρυθμη λειτουργία των περιηγητών Firefox και Edge οι οποίες έσπευσαν να διορθώσουν την ευπάθεια. techmaniacs

About Freegr network

Από το Blogger.