Google, LLC
Jake Archibald, de voorstander van Google Chrome, heeft een tamelijk ernstige kwetsbaarheid ontdekt in de moderne webbrowsertechnologie waardoor sites inloggegevens en andere gevoelige informatie kunnen stelen. Exploits zouden in theorie informatie kunnen stelen met betrekking tot andere sites waarop u zich heeft aangemeld, maar die momenteel geen toegang probeert te krijgen.
Aanvallers op afstand kunnen dit beveiligingslek hypothetisch zelfs gebruiken om de inhoud te lezen van e-mail die u opent via een webinterface of privéberichten die u op sociale netwerksites ontvangt.
Cross-origin request-technologie biedt de kern waarop de kwetsbaarheid in theorie zou kunnen worden gebouwd. Moderne browsers staan niet toe dat sites cross-origin verzoeken doen, omdat moderne ingenieurs van mening zijn dat er weinig legitieme redenen zijn voor de ene site om informatie te bekijken die door een andere wordt geleverd.
Webbrowsers zijn niet zo specifiek als het gaat om het ophalen van andere soorten mediabestanden die op een externe bron worden gehost, aangezien dit soort verzoeken noodzakelijkerwijs is om streaming audio en video te laden.
Sitecode is over het algemeen toegestaan om audio- en videobestanden van een ander domein te laden zonder een browser te vragen om een ongeautoriseerde verzoekfout weer te geven. Browsers ondersteunen mogelijk ook bepaalde typen responsen van bereikheader en gedeeltelijke content-load, die geacht worden kleine stukjes van een groter stuk streaming media te leveren.
Volgens onderzoek van Archibald kunnen Microsoft Edge, Mozilla Firefox en andere moderne browsers misleid worden om met deze methode onregelmatige verzoeken te laden. Het is aangetoond dat deze browsers testkopieën mogelijk maken van ondoorzichtige gegevens van meerdere bronnen tot een eindgebruiker.
Momenteel zijn er geen gevallen bekend van crackers die deze aanvalsvector gebruiken. Wavethrough, zoals Archibald het noemt, is al gecorrigeerd in Chrome en Safari zonder echt doelbewust te proberen dit te doen. Hij verklaarde dat hij wenste dat dit soort beveiligingsfunctie zou zijn geschreven als een browsestandaard, zodat alle moderne browsers immuun zouden zijn voor de kwetsbaarheid.
Hoewel er geen nieuws is dat Microsoft of Mozilla op de bug reageren, is het niet moeilijk te geloven dat er patches zullen worden uitgebracht bij de volgende grote update van beide browsers. Ingenieurs kunnen ook op een dag aandringen op dit ontwerp als standaard, zoals Archibald wilde.
Tags Google Chrome webbeveiliging
