Le développeur Google découvre un bogue critique dans les navigateurs Web modernes

Un chercheur de Google a découvert une grave vulnérabilité dans les navigateurs Web modernes qui aurait pu permettre aux sites Web que vous visitez de voler le contenu sensible de vos comptes en ligne à partir d’autres sites Web que vous avez connectés dans le même navigateur.

Découvert par Jake Archibald, développeur de Google Chrome, la vulnérabilité réside dans la manière dont les navigateurs gèrent les requêtes d’origines croisées vers des fichiers audio et vidéo qui, s’ils sont exploités, pourraient permettre aux attaquants distants de lire le contenu de vos messages Gmail ou Facebook.

Pour des raisons de sécurité, les navigateurs Web modernes ne permettent pas aux sites Web de faire des demandes d’origine croisée vers un domaine différent, sauf si un domaine l’autorise explicitement.

Cela signifie que si vous visitez un site Web sur votre navigateur, il ne peut demander que des données provenant de la même origine que le site, empêchant ainsi toute demande non autorisée en votre nom afin de voler vos données d’autres sites.

Toutefois, les navigateurs Web ne répondent pas de la même manière lors de la récupération de fichiers multimédias hébergés sur d’autres origines, ce qui permet à un site Web que vous visitez de charger des fichiers audio / vidéo provenant de différents domaines sans aucune restriction.

De plus, les navigateurs prennent également en charge les réponses d’en-tête et de contenu partiel, ce qui permet aux sites Web de diffuser un contenu partiel d’un grand fichier multimédia utile lors de la lecture d’un grand média ou du téléchargement de fichiers.

En d’autres termes, les éléments multimédias peuvent combiner des réponses multiples et les traiter comme une seule ressource.

Cependant, Archibald a découvert que Mozilla FireFox et Microsoft Edge permettaient aux éléments multimédias de mélanger des données visibles et opaques ou des données opaques provenant de plusieurs sources, laissant un vecteur d’attaque sophistiqué ouvert aux attaquants.

Dans un article de blog publié aujourd’hui, Archibald a détaillé cette vulnérabilité, qu’il a surnommée Wavethrough , expliquant comment un attaquant peut tirer parti de cette fonctionnalité pour contourner les protections mises en place par les navigateurs qui empêchent les demandes d’origines croisées.

"Les bogues ont commencé quand les navigateurs ont implémenté des requêtes de portée pour les éléments média, ce qui n’était pas couvert par la norme." Ces demandes étaient vraiment utiles, donc tous les navigateurs ont copié le comportement de chacun, mais personne ne l’a intégré. expliqué.

Selon Archibald, cette faille peut être exploitée par un site web malveillant utilisant un fichier média incorporé sur sa page web, qui, si elle est jouée, ne sert que du contenu partiel de son propre serveur et demande au navigateur de récupérer le reste du fichier le navigateur pour faire une demande d’origine croisée.

La deuxième requête, qui est en fait une demande d’origine croisée et devrait être restreinte, sera couronnée de succès parce que le mélange de données visibles et opaques est autorisé pour un fichier multimédia, permettant à un site Web de voler du contenu à l’autre.

"J’ai créé un site qui fait ce qui précède.J’ai utilisé un en-tête PCM WAV parce que tout ce qui est après l’en-tête est une donnée valide, et tout ce que Facebook renvoyé serait traité comme audio non compressé", a déclaré Archibald.

Archibald a également publié une vidéo et une démonstration de faisabilité démontrant comment un site Web malveillant peut extraire votre contenu privé de sites Web comme Gmail et Facebook, dont la réponse sera la même pour le site malveillant que votre navigateur les charge pour vous.

Étant donné que Chrome et Safari disposent déjà d’une stratégie permettant de rejeter ces demandes d’origine croisée dès qu’elles voient une redirection après que le contenu sous-jacent semble avoir changé entre les demandes, leurs utilisateurs sont déjà protégés.

"Je pense que Chrome a connu un problème de sécurité similaire il y a longtemps, mais au lieu de simplement le corriger dans Chrome, le correctif aurait dû être écrit dans une norme, et les tests auraient dû être écrits pour d’autres navigateurs pour vérifier ", A déclaré Archibald.

Les navigateurs FireFox et Edge qui ont été jugés vulnérables à ce problème ont également corrigé la vulnérabilité dans leurs dernières versions après qu’Archibald l’a signalé de manière responsable à leurs équipes de sécurité.

Par conséquent, les utilisateurs de navigateurs FireFox et Edge sont fortement recommandés pour s’assurer qu’ils exécutent la dernière version de ces navigateurs.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 26 |

Actu en image