Компания Microsoft исправила в своем браузере критическую уязвимость, которая могла доставить пользователям кучу проблем. Зато теперь разработчики смогли раскрыть подробности обнаруженной ранее уязвимости.
Эксперты рассказали, что из-за этой уязвимости злоумышленники могли через вредносные сайты получить доступ даже к личной почте пользователя или к другому контенту, содержащемуся на открываемых сайтах. Такие действия удается провернуть благодаря наличию на зараженных сайтах аудиофайлов, которые воспроизводятся автоматически при открытии страницы.
Проблему обнаружил специалисты компании Google Джейк Арчибальд. Он рассказал, что такая схема позволяет злоумышленникам просматривать удаленно не только личную почту, но еще и аккаунты в социальных сетях. Причем сам владелец ПК может даже не догадываться, что его личную информация просматривают мошенники.
Арчибальд более подробно описал эту проблему, чтобы пользователи знали, насколько она может быть опасна. По его словам, уязвимость затрагивает инструмент Service workers во время загрузки мультимедийного контента на вредоносном сайте. Воспроизведение обязательно должно производиться внутри тега
При других условиях осуществить такие действия не представляется возможным, так как современные браузеры поддерживают технологию защиты Cross-Origin Resource Sharing. Она предотвращает загрузку на ресурсы контента со сторонних сайтов. Но из-за особой конфигурации в Edge появилась такая уязвимость. Она получила идентификатор CVE-2018-8235. Кроме Edge она затрагивает также «ночную» версию Firefox. Оба эти веб-обозревателя уже получили нужные заплатки.