-> ->

Microsoft отказалась исправлять опасную уязвимость в своем браузере

В популярных браузерах регулярно обнаруживаются уязвимости, причем некоторые из них имеют критический характер. Производители наиболее популярных веб-обозревателей, например компания Google, стараются в самые сжатые сроки устранить дыры в своем браузере, чтобы они не повлияли на популярность продукта. Другие же в силу того, что их веб-обозреватели не столь популярны, работают не так оперативно или же вовсе отказываются устранять обнаруженные баги.

Так, недавно в блоге специалиста компании Cisco Николая Гредума появилась новая запись об опасной уязвимости, которая была обнаружена в популярных браузерах еще в прошлом году. С помощью этого бага хакеры могли обойти Content Security Policy и использовать это для активизации вредоносной активности. На самом же деле механизм CSP используется на сайтах для конфигурации HTTP-хедеров и дает браузерам информацию о том, какие именно дополнительные ресурсы или инструменты нужно еще загрузить для корректной работы, а также указывая путь, откуда нужно осуществить эту загрузку.

С помощью эксплуатации обнаруженной уязвимости злоумышленники могут отслеживать действия пользователей. Например, при обходе CSP и загрузке вредоносного JavaScript мошенники могут просмотреть куки пользователя, хранящиеся в браузере, или даже перехватить все нажатия клавиш на клавиатуре при заполнении какой-либо формы или авторизации на сайте.

Эта уязвимость затрагивала одновременно несколько известных браузеров, среди которых Chrome, Safari и Edge. Первые два уже получили свои обновления, в которых содержатся заплатки для обнаруженной дыры. В частности, Google выпустил новую версию Chrome под номером 57.0.2987.98, а Apple позаботился о доступности для пользователей Safari 10.1 и iOS 10.3, в которых уже содержатся заплатки для обнаруженного бага.

Проблема обхода CSP браузер Firefox обошла стороной, поэтому разработчикам этого веб-обозревателя не пришлось выпускать дополнительных обновлений.

А вот компания Microsoft, которую эта проблема затронула, решила вовсе ничего не менять и не выпускать исправления для данного бага. Специалисты пояснили это тем, что вообще не считают его уязвимостью. По их словам, Гредум углядел проблему в обычной и вполне нормальной работе CSP. После получения такого ответа компания Cisco взялась переубеждать Microsoft в том, что возможность обхода CSP все же является уязвимостью, которую необходимо устранить. В общей сложности Гредуму и его коллегам пришлось потратить на переписку и доказательства почти полгода, но добиться чего-либо от Microsoft они не смогли. Разработчики Edge остались при своем мнении, поэтому ничего исправлять они не собираются.

По истечении этого срока специалисты Cisco имеют полное право обнародовать информацию об уязвимости, и они воспользовались этим правом. Но даже несмотря на то, что все данные об обнаруженном баге уже стали общедоступными, компания Microsoft не предприняла никаких действий, чтобы обезопасить своих пользователей.

Гредум даже описал самый простой способ атаки с помощью обхода CSP. Он написал, что для осуществления XSS-атаки понадобится минимум дополнительных знаний. Злоумышленнику придется воспользоваться window.open, а затем при помощи функции document.write написать нужный код в новом окне.

Поставить рейтинг:(Рейтинг: 2.85, оценок: 178)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.