Groźna luka we wszystkich przeglądarkach. Bezpieczne są tylko najnowsze wersje

Pomimo nieprzerwanej dbałości twórców przeglądarek internetowych o bezpieczeństwo, współczesne aplikacje okazują się wciąż mieć luki, które można dość łatwo wykorzystać, by wykraść prywatne dane. Kolejną taką podatność odkrył niedawno Jake Archibald związany z Google, który – jak tłumaczy w swoim wpisie na blogu, zupełnie przypadkiem zwrócił uwagę, jak w prosty sposób zmusić przeglądarkę do komunikacji z zainfekowaną witryną, omijając w ten sposób zaimplementowane zabezpieczenia.

Problematyczne okazuje się łączenie niepełnych danych podczas odtwarzania multimediów. O ile w innych przypadkach blokowane są żądania do witryn innych niż ta, na której wyświetlona ma zostać treść, tak w sytuacji ładowania filmów czy muzyki w części przeglądarek podobne zabezpieczenie da się obejść i zmusić program do odwołania się do innej strony, by wczytać pozostałe informacje. Oznacza to, że gdy dane o odtwarzanym materiale będą niepełne (a w sytuacji ataku właśnie takie celowo będą), atakujący może wykorzystać tę lukę, by docelowo wykraść prywatne dane użytkownika.

Okazuje się, że można w ten sposób dojść do informacji z innych serwisów, w których w danej chwili zalogowany jest w tej samej przeglądarce użytkownik. Mowa jest nawet o treści wiadomości z Gmaila czy historii czatów z Facebooka. Dowód na to, że taka forma ataku działa i pozwala doprowadzić do pobrania danych z innej witryny, zaprezentowany został nawet na krótkim filmie.

Co ciekawe, jeszcze niedawno problem miał dotyczyć wszystkich nowoczesnych przeglądarek, ale od reguły były wyjątki – Google Chrome oraz Safari miały być na tego typu atak od dłuższego czasu odporne. Archibald, gdy tylko odkrył opisywaną przez siebie lukę, zgłosił ją zespołom odpowiedzialnym za inne znane przeglądarki. Łatki pojawiły się już także w najnowszych wersjach Firefoksa i przeglądarki Microsoft Edge.

Autor zwraca uwagę, że największy problem w tego typu sytuacjach to podejście do aktualizacji. Archibald dodaje, że podobna luka pojawiła się kiedyś zapewne w Google Chrome, ale została załatana tylko w nim, zamiast doprowadzić do wprowadzenia nowego standardu obsługi opisywanego tu rodzaju żądań, dzięki czemu docelowo uodpornione zostałyby wszystkie przeglądarki. Chce w ten sposób zwrócić uwagę na znaczenie standaryzacji.