Google Geliştirici, Modern Web Tarayıcılarında Kritik Bir Hata Buldu

Google araştırmacısı, modern web tarayıcılarında, ziyaret ettiğiniz web sitelerinin, çevrimiçi hesaplarınızın hassas içeriğini, aynı tarayıcıda oturum açtığınız diğer web sitelerinden çalmak için kullanabileceği ciddi bir güvenlik açığını keşfetti.

Google Chrome’un geliştirici savunucusu Jake Archibald tarafından keşfedilen bu güvenlik açığı, tarayıcıların video ve ses dosyalarına yönelik çapraz kaynaklı istekleri işleme biçiminde yer alıyor. Bu durum, istismar edildiyse, uzaktaki saldırganların Gmail veya gizli Facebook iletilerinizin içeriğini bile okumasına izin verebilir.

Güvenlik nedenleriyle, modern web tarayıcıları, herhangi bir alan açıkça izin vermedikçe web sitelerinin farklı bir alana çapraz kaynaklı istekte bulunmasına izin vermez.

Yani, tarayıcınızdaki bir web sitesini ziyaret ederseniz, yalnızca sitenin yüklendiği aynı kaynaktan talepte bulunabilir ve verilerinizi başka sitelerden çalmak amacıyla sizin adınıza yetkisiz bir talepte bulunmasını engelleyebilir.

Bununla birlikte, web tarayıcıları diğer kaynaklarda barındırılan medya dosyalarını getirirken aynı şekilde yanıt vermez, ziyaret ettiğiniz bir web sitesine herhangi bir kısıtlama olmaksızın farklı etki alanlarından ses / video dosyaları yüklemek için izin verir.

Dahası, tarayıcılar ayrıca, geniş bir medya oynatırken ya da duraklatma ve devam etme yetenekleri ile dosya indirirken faydalı olan web sitelerinin büyük bir medya dosyasının kısmi içeriğine hizmet etmesine izin veren aralık başlığı ve kısmi içerik yanıtlarını da destekler.

Başka bir deyişle, medya unsurları çoklu cevapların parçalarını bir araya getirme ve tek bir kaynak olarak ele alma becerisine sahiptir.

Ancak, Archibald, Mozilla FireFox ve Microsoft Edge’in medya öğelerinin görünür ve opak verileri veya birden fazla kaynaktan gelen opak verileri bir araya getirmelerine izin verdiğini ve saldırganlara yönelik gelişmiş bir saldırı vektörü bıraktığını gördü.

hacking-web-browsers

Archibald, bugün yayınlanan bir blog yayınında , Wavethrough adını verdiği bu güvenlik açığını, bir saldırganın çapraz bağlantı isteklerini engelleyen tarayıcıların uyguladığı korumaları atlamak için bu özelliği nasıl kullanabileceğini açıkladığını anlattı.

“Tarayıcılar, standartların kapsamadığı medya öğeleri için aralık isteklerini uyguladıklarında hatalar başladı. Bu aralık istekleri gerçekten yararlıydı, bu nedenle tüm tarayıcılar, birbirlerinin davranışlarını kopyalayarak bunu yaptılar, ancak hiç kimse onu standart haline getirmedi,” Archibald açıkladı.

Archibald’a göre, bu boşluk, web sayfasında gömülü bir medya dosyası kullanan kötü amaçlı bir web sitesi tarafından kullanılabilir; bu oynatılırsa, oynatılırsa, yalnızca kendi sunucusundan kısmi içerik sağlar ve tarayıcıdan farklı bir kaynaktan gelen dosyanın geri alınmasını ister. çapraz kaynaklı bir istekte bulunacak tarayıcı.

Gerçekte çapraz-kaynaklı bir talep olan ve kısıtlanması gereken ikinci talep başarılı olacaktır çünkü bir web sitesinin görünür ve opak veriye izin vermesi, bir web sitesinin diğerinden içerik çalmasına izin verir.

Archibald, “Yukarıdakileri yapan bir site oluşturdum. Bir PCM WAV üstbilgisi kullandım çünkü üstbilgiden sonraki her şey geçerli verilerdir ve Facebook’un geri döndürülmesi sıkıştırılmamış ses olarak değerlendirilecekti.”

Archibald ayrıca bir video yayınladı ve kötü amaçlı bir web sitesinin özel içeriğinizi tarayıcınız tarafından sizin için yükledikçe kötü niyetli site için yanıtı aynı olan Gmail ve Facebook gibi web sitelerinden nasıl alabildiğini gösteren bir konsept kanıtı.

[youtube https://www.youtube.com/watch?v=D5wu_za7ows&w=560&h=315]

Chrome ve Safari’nin, söz konusu çapraz kaynaklı istekleri, temel içeriğin istekleri arasında değiştiği görüldükten sonra herhangi bir yönlendirme gördüğü anda reddetme politikası zaten mevcut olduğundan, kullanıcıları zaten korunmaktadır.

“Bu yüzden standartlar önemlidir. Chrome’un çok eskiden benzer bir güvenlik sorunu yaşadığına inanıyorum, ancak Chrome’da düzeltmek yerine, düzeltme bir standart haline getirilmiş olmalı ve diğer tarayıcılar için testlerin yapılması için testler yazılmalıydı. “Dedi Archibald.

Bu konuya karşı savunmasız olarak bulunan FireFox ve Edge tarayıcıları, Archibald’ın güvenlik ekiplerine sorumlu bir şekilde bildirdikten sonra, en son sürümlerindeki güvenlik açığını da yamalamıştır.

Bu nedenle, bu tarayıcıların en son sürümünü çalıştırdıklarından emin olmak için FireFox ve Edge tarayıcı kullanıcılarının şiddetle tavsiye edilir.