當前位置:
首頁 > 最新 > 利用 Chrome bug 通過音頻或視頻 HTML 標籤竊取 web 秘密

利用 Chrome bug 通過音頻或視頻 HTML 標籤竊取 web 秘密

最新 08-18

GIF

聚焦源代碼安全,網羅國內外最新資訊!

翻譯:360代碼衛士團隊

谷歌修復了Chrome瀏覽器中可導致攻擊者通過音頻或視頻HTML標籤從其它站點檢索敏感信息的漏洞。

Imperva 公司的安全研究員 Ron Masas 發現並向谷歌報告了這個漏洞 (CVE-2018-6177)。谷歌在7月末發布 Chrome v68.0.3440.75 修復該問題。

如果攻擊者能通過惡意廣告或利用合法站點上的漏洞注入並執行代碼的方式誘騙受害者訪問惡意站點,那麼該漏洞就能在老舊版本的 Chrome 中遭利用。

攻擊用音頻和視頻 HTML 標籤

Masas 發布 write-up 指出,攻擊場景需要惡意代碼載入來自音頻和視頻 HTML 標籤內合法站點的內容。他指出,通過使用 「progress」 事件,能夠推斷出從外部站點獲得的響應規模,並猜測出多種類型的信息。在正常情況下,這種情況不可能發生,因為瀏覽器安全功能 CORS(跨源資源共享)能夠阻止站點從其它站點載入資源,但這種攻擊能繞過 CORS。Masas 表示,「從根本上來講,這個漏洞可導致攻擊者使用視頻或音頻標記來估計跨源資源的大小」。

攻擊能從其它站點檢索敏感/受保護數據

在測試中,Masas 能夠通過激活 Facebook 的公開帖子上「受眾限制」的設置判斷用戶可能的年齡組和性別。他指出,通過操縱 Facebook 等站點以大型或小型響應的形式反映用戶數據,這樣就可能持續提取有價值數據。

但專門研究 web 安全問題的研究員 Mike Gualtieri 表示,這種攻擊的利用方式要比收集 Facebook 用戶數據更具創新性。例如針對企業後端、內聯網和其它以企業為中心的應用程序發動攻擊。

Gualtieri 表示,「企業 IT 定製的現成系統可能是這種攻擊的最佳目標,因為攻擊者可以學習系統內部並可能影響系統的所有用戶。」他指出,在通常情況下,從登錄用戶來看,這些系統更加同質化,攻擊者可能針對存儲在企業 web 應用程序特定區域中的敏感數據發動攻擊。

API 也處於危險之中

此外,Gualtieri 認為攻擊可能適用於攻擊者在正常情況下無法訪問的 API,但這個 bug 允許攻擊者中繼請求。Gualtieri 表示,目前能找到保護不力的 web-API 的通信數據是可行的。足夠勤奮的攻擊者可以通過登錄用戶計算出一組預期請求並針對這些 API 響應。例如,假如某股票交易公司的 API 端點遭暴露,那麼它返回的內容如下:

如果用戶已登錄,請求可能是:

Gualtieri 表示,因此可基於所購股票進行推斷。雖然這個例子聽起來不太現實,但見過很多設計不良或暴露API 的情況和這個假設的案例很類似。

類似但不同於 Wavethrough

如果說 Masas 的攻擊看似熟悉,可能是因為和三月份披露的一個影響 Edge 和火狐漏洞 Wavethrough (CVE-2018-8235) 類似。

和 Masas 發現的 Chrome bug 不同,Wavethrough 使用音頻和視頻標記繞過 CORS 保護措施,從其它站點載入數據並判斷其內容。不過類似之處也就到此為止。

Masas 表示,Wavethrough 漏洞使用服務工作者和 『range』 請求提取原始數據。從另一方面來講,從元素中發出的『progress』事件估算跨來源資源大小並使用這種信息通過利用 Facebook 等站點上的限制過濾器過濾關於用戶的更多信息。

發現 Wavethrough 漏洞的谷歌研究員 Jake Archibald 指出,這兩種攻擊大不相同,即使攻擊是通過音頻和視頻 HTML 標記執行的也不例外。這個 Chrome bug 更多的是一種定時攻擊而 Wavethrough 攻擊並非如此。Wavethrough 是對來源模型的違規。二者的不同之處在於,Wavethrough 檢索的是破解 CORS 之後找到的數據,而 Masas 缺陷不斷以一系列請求探測其它站點以猜測數據內容。

雖然 Chrome bug 看似難以遭利用,但並非如此。

Gualtieri 表示,攻擊並不複雜,只需要做一些準備工作即可。這種不斷猜測的遊戲並不意味著 Chrome bug 僅受限於一個用戶。他指出,根據目標站點而言,這種猜測遊戲可能用於針對多名用戶。因此,除非用戶不想暴露 web 秘密,那麼建議將 Chrome 更新至 v68.0.3440.75 或之後版本。

https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 代碼衛士 的精彩文章:

左手挖礦右手勒索:新型病毒拒絕空手而歸
泰坦安全密鑰:谷歌推出硬體雙因素認證保護機制

TAG:代碼衛士 |