Google、LLC
GoogleChromeの提唱者であるJakeArchibaldは、最新のウェブブラウジングテクノロジーにかなり深刻な脆弱性を発見しました。これにより、サイトがログインの詳細やその他の機密情報を盗む可能性があります。エクスプロイトは、理論的には、ログインしているが現在アクセスを試みていない他のサイトに関連する情報を盗む可能性があります。
リモートの攻撃者は、この脆弱性を利用して、Webインターフェイスからアクセスした電子メールのコンテンツやソーシャルネットワーキングサイトで送信されたプライベートな投稿を読み取る可能性さえあります。
クロスオリジンリクエストテクノロジーは、理論的に脆弱性を構築できるコアを提供します。最新のブラウザでは、サイトがクロスオリジンリクエストを行うことを許可していません。これは、最新のエンジニアは、あるサイトが別のサイトから提供された情報を確認する正当な理由はほとんどないと考えているためです。
この種のリクエストは必然的にストリーミングオーディオとビデオをロードすることであるため、外部オリジンでホストされている他のタイプのメディアファイルをフェッチする場合、Webブラウザはそれほど特別ではありません。
通常、サイトコードは、ブラウザに不正な要求エラーを表示するように要求することなく、他のドメインからオーディオファイルとビデオファイルを読み込むことができます。ブラウザは、一部のタイプの範囲ヘッダーと部分的なコンテンツロード応答もサポートする場合があります。これらは、ストリーミングメディアの大きな部分の小さな部分を配信することになっています。
Archibaldの調査によると、Microsoft Edge、Mozilla Firefox、およびその他の最新のブラウザは、この方法を使用して不規則なリクエストをロードするようにだまされる可能性があります。これらのブラウザは、複数のソースからエンドユーザーまで不透明(OPAQUE)データのテストコピーを許可することが示されています。
現在、この攻撃ベクトルを利用するクラッカーの既知のインスタンスはありません。 Archibaldが言うように、Wavethroughは、実際に意図的に修正しようとせずに、ChromeとSafariですでに修正されています。彼は、この種のセキュリティ機能がブラウジング標準として記述されていれば、すべての最新のブラウザが脆弱性の影響を受けないことを望んでいると述べました。
MicrosoftやMozillaがバグに対応しているというニュースはありませんが、これら両方のブラウザの次のメジャーアップデートでパッチがリリースされると信じるのは難しいことではありません。エンジニアはまた、いつかこの設計をArchibaldが望むように標準にすることを推進するかもしれません。
タグ グーグルクローム Webセキュリティ