Google, LLC
Jake Archibald, pembangun penyokong Google Chrome, telah menemui kerentanan yang agak serius dalam teknologi penyemakan imbas web moden yang boleh membenarkan laman web mencuri maklumat masuk serta maklumat sensitif lain. Eksploitasi secara teorinya dapat mencuri maklumat yang berkaitan dengan laman web lain yang telah anda log masuk tetapi ketika ini tidak cuba diakses.
Penyerang jarak jauh bahkan boleh menggunakan kerentanan ini untuk membaca kandungan e-mel yang anda akses dari antara muka web atau catatan peribadi yang dihantar kepada anda di laman rangkaian sosial.
Teknologi permintaan silang asal memberikan inti bahawa kerentanan dapat dibangun berdasarkan teori. Penyemak imbas moden tidak membenarkan laman web membuat permintaan silang asal kerana jurutera moden percaya bahawa ada beberapa alasan yang sah bagi satu laman web untuk melihat maklumat yang disajikan dari yang lain.
Penyemak imbas web tidak begitu istimewa ketika mengambil jenis fail media lain yang dihoskan di tempat asal kerana permintaan semacam ini semestinya memuatkan streaming audio dan video.
Kod laman web umumnya dibenarkan memuatkan fail audio dan video dari domain lain tanpa meminta penyemak imbas menunjukkan kesalahan permintaan yang tidak dibenarkan. Penyemak imbas juga boleh menyokong beberapa jenis header julat dan respons memuatkan sebahagian kandungan, yang seharusnya memberikan potongan kecil dari sekeping media streaming yang lebih besar.
Microsoft Edge, Mozilla Firefox dan penyemak imbas moden lain dapat ditipu memuatkan permintaan yang tidak teratur menggunakan kaedah ini menurut penyelidikan Archibald. Penyemak imbas ini terbukti membenarkan salinan ujian data legap dari pelbagai sumber hingga pengguna akhir.
Pada masa ini tidak ada contoh keropok yang diketahui menggunakan vektor serangan ini. Wavethrough, seperti yang disebut oleh Archibald, telah diperbaiki di Chrome dan Safari tanpa benar-benar berusaha untuk melakukannya. Dia menyatakan bahawa dia berharap ciri keselamatan seperti ini ditulis sebagai standard penyemakan imbas sehingga semua penyemak imbas moden akan kebal terhadap kerentanan.
Walaupun belum ada berita mengenai Microsoft atau Mozilla yang menanggapi bug tersebut, tidak sukar untuk mempercayai bahawa tambalan akan dikeluarkan dengan kemas kini utama kedua penyemak imbas ini. Jurutera juga suatu hari nanti mendorong reka bentuk ini menjadi standard seperti yang diinginkan oleh Archibald.
Teg Google Chrome keselamatan web
