„Google“, LLC
Jake'as Archibaldas, „Google Chrome“ advokato kūrėjas, aptiko gana rimtą šiuolaikinės interneto naršymo technologijos pažeidžiamumą, kuris gali leisti svetainėms pavogti prisijungimo duomenis ir kitą neskelbtiną informaciją. Teoriškai „Exploits“ gali pavogti informaciją, susijusią su kitomis svetainėmis, prie kurių esate prisijungę, bet šiuo metu nebandote pasiekti.
Nuotoliniai užpuolikai hipotetiškai netgi gali naudoti šį pažeidžiamumą, norėdami perskaityti el. Laiškų, kuriuos pasiekiate iš žiniatinklio sąsajos, ar privačių pranešimų, siunčiamų jums socialinių tinklų svetainėse, turinį.
Kryžminių užklausų technologija suteikia pagrindą, kuriuo teoriškai galėtų būti grindžiamas pažeidžiamumas. Šiuolaikinės naršyklės neleidžia svetainėms pateikti kryžminių užklausų, nes šiuolaikiniai inžinieriai mano, kad yra keletas teisėtų priežasčių, kodėl viena svetainė gali ieškoti informacijos, teikiamos iš kitos.
Žiniatinklio naršyklės nėra tokios ypatingos, kai reikia gauti kitų tipų daugialypės terpės failus, priglobtus ne iš kilmės, nes tokia užklausa būtinai turi būti skirta garso ir vaizdo srautiniam perdavimui.
Svetainės kodui paprastai leidžiama įkelti garso ir vaizdo failus iš kito domeno, neprašant naršyklės parodyti neteisėtą užklausos klaidą. Naršyklės taip pat gali palaikyti kai kurių tipų diapazono antraštes ir dalinio turinio įkėlimo atsakymus, kurie turėtų pateikti mažus gabalėlius iš didesnio srautinės terpės gabalo.
Remiantis „Archibald“ tyrimais, naudojant „Microsoft Edge“, „Mozilla Firefox“ ir kitas šiuolaikines naršykles galima apgauti įkelti netaisyklingas užklausas. Įrodyta, kad šios naršyklės leidžia išbandyti nepermatomų duomenų iš kelių šaltinių kopijas galutiniam vartotojui.
Šiuo metu nėra jokių žinomų atvejų, kai krekeriai naudojo šį atakos vektorių. „Wavethrough“, kaip jį vadina Archibaldas, jau buvo pataisytas „Chrome“ ir „Safari“, tikrai tikslingai to nemėginant. Jis pareiškė norįs, kad tokia saugumo funkcija būtų įrašyta kaip naršymo standartas, todėl visos šiuolaikinės naršyklės būtų apsaugotos nuo pažeidžiamumo.
Nors nebuvo jokių naujienų apie „Microsoft“ ar „Mozilla“ atsakymą į klaidą, nesunku patikėti, kad pleistrai bus išleisti su kitu svarbiu abiejų naršyklių atnaujinimu. Inžinieriai taip pat gali kada nors pasistengti, kad šis dizainas būtų standartinis, kaip norėjo Archibaldas.
Žymos „Google Chrome“ interneto sauga
