/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
Une vulnérabilité dans le navigateur Microsoft Edge qui permet à un site Web malveillant d'accéder au contenu d'autres pages Web, indépendamment du fait qu'ils aient été ouverts dans le navigateur à l'époque, a été corrigée dans le cadre des mises à jour du correctif de juin 2018.
La vulnérabilité concerne le comportement d'utilisation de techniciens de service pour charger du contenu dans une balise <audio> ou <video> à partir d'un site distant, tout en utilisant simultanément le paramètre "range" pour accéder à une section spécifique de ce fichier.
Selon Jake Archibald , l'employé de Google qui a trouvé la vulnérabilité, "c'est un énorme bug, cela signifie que vous pouvez visiter mon site dans Edge, et je pourrais lire vos emails, je pourrais lire votre flux Facebook, sans que vous le sachiez." Archibald a noté qu'il a nommé la vulnérabilité Wavethrough parce que «cela implique de l'audio wave, et que les données sont permises sans cela», tout en notant la tendance à donner aux vulnérabilités «un nom et un logo extrêmement ténu». Wavethrough se voit attribuer l'identifiant CVE-2018-8235 .
Le paramètre range est la partie instrumentale de cette vulnérabilité. Dans des circonstances normales, ceci est utilisé pour reprendre des téléchargements, et dans des éléments de médias quand l'utilisateur navigue vers un point différent dans un fichier, empêchant le téléchargement complet du fichier avant que le navigateur puisse sauter au point désiré. Archibald souligne que lors de l'utilisation des techniciens de service, le paramètre range a été omis, car les éléments de média utilisent des requêtes «no-cors». Archibald fournit un résumé concis du concept:
Si vous récupérez () quelque chose d'une autre origine, cette origine doit vous donner la permission d'afficher la réponse. Par défaut, la demande est faite sans cookies, et si vous voulez que les cookies soient impliqués, l'origine doit donner une permission supplémentaire pour cela. Si vous voulez envoyer des en-têtes de fantaisie, le navigateur vérifie d'abord avec l'origine, avant de faire la demande avec les en-têtes fantaisie. Ceci est connu comme CORS .
En revanche, certaines API ignorent complètement cela, avec des images, des CSS et des scripts non-modules agissant comme des requêtes non-cors en tant que comportement par défaut.
En l'état, le paramètre range est standardisé en HTTP, mais pas en HTML, ce qui incite différents navigateurs à interpréter différemment ce concept. La preuve de concept d'Archibald repose sur le mélange de données connues et inconnues, combiné à une redirection. Parmi les quatre principaux navigateurs, Chrome et Safari ont rejeté la demande, tandis que les versions Bêta et Nightly de Firefox ont uniquement exposé la longueur de la ressource demandée, et non le contenu associé. Aucune version stable de Firefox n'est vulnérable, mais Archibald note que le problème a été résolu dans les heures qui ont suivi le rapport de bogue.
En revanche, dans Edge, le navigateur permet à l'audio résultant d'être transmis via l'API audio Web, à partir de laquelle il peut être transformé en chaîne pour obtenir le contenu de la page, ce qui a été démontré dans cette démonstration de principe. de BBC News.
Archibald note que la communication avec l'équipe Edge de Microsoft a été un exercice de frustration, car l'équipe de sécurité de Microsoft a affirmé ne pas avoir accès au suiveur de bogues Edge, et a souhaité que les détails soient collés dans un courriel.
Le jour suivant, ils ont demandé le code source de l'attaque, qui, selon Archibald, aurait été visible s'ils avaient utilisé le bouton "View Source". Suite à cela, il n'y a eu aucune communication de Microsoft pendant 20 jours, ce qui a incité Archibald à demander à deux membres de l'équipe Edge à ce sujet. En conséquence, Archibald a reçu un courriel indiquant que Microsoft «développait une solution», suivie de 14 autres jours de silence. Après s'être plaint sur Twitter , l'ingénieur de sécurité Edge Kokatsu a répondu et a discuté en privé de la façon dont le correctif était en cours de développement.
Construire un jeu de diapositives, une présentation ou une présentation? Voici les grands plats à emporter:
- Un bogue permettant à un acteur malveillant d'accéder à des données arbitraires dans Microsoft Edge a été découvert et a été corrigé dans la mise à jour de correctif de juin 2018.
- Le problème n'affecte ni Chrome ni Safari et n'a été détecté que pour les versions préliminaires de Firefox.
Source : techrepublic.com
Suivez ce blog : Newsletter, Mail
Suivez-moi sur : Framasphere, Twitter
/image%2F2647755%2F20190814%2Fob_ea312c_turn-windows10-xp-7-8-670x335.jpg)
/image%2F2647755%2F20190727%2Fob_7c4114_images.jpeg)
/image%2F2647755%2F20190716%2Fob_d6d023_word-exccel-and-powerpoint-android-use.jpg)
/image%2F2647755%2F20190710%2Fob_77e459_7e669a34b416c175409b4d89e77bba31-media.jpg)
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article