В новом веб-обозревателе Microsoft Edge вышла из строя одна из основных функций безопасности, предотвращающая совершение серьезных атак через браузер. Проблему удалось обнаружить специалисту компании PortSwigger Гарету Хэйесу.
Он рассказал, что при работе в Edge его насторожил XSS-фильтр, и как выяснилось впоследствии, не зря. В данном механизме безопасности, который предотвращает выполнение разных XSS-атак в браузерах, произошел серьезный сбой, из-за которого этот механизм перестал работать.
Эта функция появилась еще давно. Первым ее получил Internet Explorer 8. Чуть позже этот механизм защиты переняли и другие веб-обозреватели. В частности, сейчас она применяется в Apple Safari и в Google Chrome.
Многие разработчики могут знать данный механизм под названием X-XSS-Protection. Он предназначается для активации фильтра, проводящего анализ на возможность проведения межсайтового скриптинга. Все современные браузеры имеют такую защиту. При загрузке сайта включается данный фильтр и проверяет код открываемой страницы на наличие элементов, используемый для XSS-атак. Если такие элементы обнаружены, то механизм защиты блокирует отображение вредоносного контента на странице.
В последнее время Edge осуществлял проверку абсолютно всех страниц, но на днях Хэйес обнаружил, что XSS-фильтр перестал работать. Специалист выяснил, что уже несколько дней эта функция защиты по умолчанию стала неактивной, при этом активировать ее тоже не получается. Интересно, что в Internet Explorer эта функция по-прежнему работает стабильно. Это может указывать на то, что отключение механизма защиты произошло случайно, а не намеренно.
Хэйес уже отправил сообщение о возникшей проблеме специалистам Microsoft, однако никаких комментариев с их стороны пока не поступало.
Добавим, что уязвимости межсайтового скриптинга используются злоумышленниками для внедрения вредоносного кода в содержимое сайта. Он выполняется непосредственно в браузере пользователя, поэтому представляет очень серьезную опасность.