Microsoft nie załata podatności, której Chrome i Safari już dawno nie mają

Talos już udostępnił raport zawierający szczegółowy opis luki. Wada została znaleziona w jednym z ważniejszych zabezpieczeń przeglądarek. Content Security Policy (CSP) to mechanizmach dbających o zachowanie zasady same-origin. Decydują one o tym, do jakich zasobów ma dostęp kod aplikacji i w założeniu dbają o to, by zasoby sieciowe były dostępne tylko dla aplikacji z tego samego serwera. W skrócie skrypt z evil.example.com nie powinien mieć dostępu do danych pobranych z good.example.com.

Atak można przeprowadzić na przykład metodą XSS (Cross Site Scripting), zdalnie wstrzykując złośliwy kod do ładowanej strony tak, by wydawało się, że pochodzi z właściwego serwera. Luka odkryta przez Cisco pozwala obejść reguły, zwykle ustalane przez serwer, a w efekcie złośliwe skrypty mogą uzyskać dostęp do wrażliwych danych albo przejąć kontrolę nad sesją. Zwykle CSP wykorzystuje listy dozwolonych źródeł kodu, zdefiniowanej w nagłówku HTTP, ale specjaliści z Cisco znaleźli sposób, by je obejść.

Talos podaje, że by przeprowadzić atak trzeba wykonać 3 czynności. Najpierw należy ustalić obowiązującą dyrektywę unsafe-inline, pozwalającą na uruchamianie osadzonego skryptu z zewnątrz. Następnie funkcją window.open() otworzyć nowe okno i wpisać tam złośliwy kod, choćby funkcją document.write().

Luka występowała w starszych wersjach przeglądarek z WebKitem, na przykład Chrome i Safari, a także w Edge'u. Chrome został naprawiony w wersji 57.0.2987.98 w marcu (CVE-2017-5033), Safari nieco później – w 10.1 na Macu (CVE-2017-2419) i 10.3 na iOS-ie.

Edge jest podatny od wersji 40.15063 wydanej w kwietniu i na razie nie zanosi się, by coś miało się w tej sprawie zmienić. Ataki XSS nie są tak poważne, jak te pozwalające wyjść poza „piaskownicę” przeglądarki, ale obecność luki w przeglądarce Microsoftu, z której korzystają miliony internautów, stwarza poważne ryzyko wycieku wrażliwych danych.