Microsoft Edge-Benutzer sollten Patches erstellen, um die Sicherheitsanfälligkeit Wavethrough durch Daten-Scraping zu vermeiden

Microsoft gibt jedes Jahr über 1 Milliarde US-Dollar für Cybersicherheitsinnovationen aus. Azure Government CISO Matthew Rathbun und Relativity CSO Amanda Fennell erklären, wie Azure künstliche Intelligenz zur Verteidigung der Geschäftsinfrastruktur einsetzt.

Eine Sicherheitsanfälligkeit im Edge-Browser von Microsoft, die es einer böswilligen Website ermöglicht, auf den Inhalt anderer Webseiten zuzugreifen, unabhängig davon, ob diese zu diesem Zeitpunkt im Browser geöffnet wurden, wurde im Rahmen der Patch Tuesday-Updates vom Juni 2018 behoben. Die Sicherheitsanfälligkeit bezieht sich auf das Verhalten der Verwendung von Servicemitarbeitern zum Laden von Inhalten innerhalb eines oder eines Tags von einer Remote-Site, während gleichzeitig der Parameter "range" verwendet wird, um zu einem bestimmten Abschnitt in dieser Datei zu springen.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Laut Jake Archibald, dem Google-Mitarbeiter, der die Sicherheitsanfälligkeit festgestellt hat, "ist dies ein großer Fehler. Dies bedeutet, dass Sie meine Website in Edge besuchen und Ihre E-Mails lesen und Ihren Facebook-Feed lesen können, ohne dass Sie es wissen." Archibald bemerkte, dass er die Sicherheitslücke Wavethrough nannte, weil "es sich um Wave-Audio handelt und Daten durchgelassen werden sollten, die nicht zugelassen werden sollten", während er den Trend bemerkte, Sicherheitslücken "einen extrem schwachen Namen und ein extrem schwaches Logo" zu geben. Wavethrough wird die ID CVE-2018-8235 zugewiesen.

Der Bereichsparameter ist der instrumentelle Teil dieser Sicherheitsanfälligkeit. Unter normalen Umständen wird dies verwendet, um das Herunterladen fortzusetzen, und in Medienelementen, wenn der Benutzer zu einem anderen Punkt in einer Datei navigiert, wodurch verhindert wird, dass die gesamte Datei heruntergeladen werden muss, bevor der Browser zum gewünschten Punkt springen kann. Archibald weist darauf hin, dass bei Verwendung von Servicemitarbeitern der Bereichsparameter weggelassen wurde, da Medienelemente "no-cors" -Anforderungen verwenden. Archibald bietet eine kurze Zusammenfassung des Konzepts:

Der Bereichsparameter ist in HTTP standardisiert, jedoch nicht in HTML, was verschiedene Browser dazu veranlasst, dieses Konzept unterschiedlich zu interpretieren. Archibalds Proof of Concept basiert auf dem Mischen bekannter und unbekannter Daten in Kombination mit einer Weiterleitung. Von den vier Hauptbrowsern lehnten Chrome und Safari die Anforderung ab, während die Beta- und Nightly-Versionen von Firefox nur die Länge der angeforderten Ressource und nicht den zugehörigen Inhalt offenlegten. Keine stabile Version von Firefox ist anfällig, obwohl Archibald feststellt, dass das Problem innerhalb von Stunden nach dem Fehlerbericht behoben wurde.

Im Gegensatz dazu ermöglicht der Browser in Edge, dass das resultierende Audio über die Web-Audio-API übertragen wird, von der es wieder in eine Zeichenfolge umgewandelt werden kann, um den Seiteninhalt abzurufen, der in diesem Proof-of-Concept zum Scrapen von Daten demonstriert wurde von BBC News.

Archibald merkt an, dass die Kommunikation mit dem Edge-Team von Microsoft eine frustrierende Übung war, da das Microsoft-Sicherheitsteam behauptete, keinen Zugriff auf den Edge-Bug-Tracker zu haben, und wünschte, dass die Details in eine E-Mail eingefügt würden.

Am nächsten Tag forderten sie den Quellcode des Angriffs an, den Archibald sonst gesehen hätte, wenn sie die Schaltfläche "Quelle anzeigen" verwendet hätten. Danach gab es 20 Tage lang keine Kommunikation von Microsoft, was Archibald dazu veranlasste, zwei Mitglieder des Edge-Teams privat danach zu fragen. Infolgedessen erhielt Archibald eine E-Mail mit dem Hinweis, dass Microsoft "einen Fix entwickelt", gefolgt von weiteren 14 Tagen Schweigen. Nachdem er sich auf Twitter beschwert hatte, antwortete der Edge-Sicherheitsingenieur Jun Kokatsu und diskutierte privat, wie das Update entwickelt wurde.

Erstellen Sie ein Dia-Deck, einen Pitch oder eine Präsentation? Hier sind die großen Imbissbuden:
  • Ein Fehler, der einem böswilligen Akteur den Zugriff auf beliebige Daten in Microsoft Edge ermöglicht, wurde entdeckt und im Patch Tuesday-Update vom Juni 2018 behoben.
  • Das Problem betrifft weder Chrome noch Safari und betrifft nur Vorabversionen von Firefox.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com