Google, LLC
Jake Archibald, o desenvolvedor defensor do Google Chrome, descobriu uma vulnerabilidade bastante séria na tecnologia moderna de navegação na web que pode permitir que os sites roubem detalhes de login, bem como outras informações confidenciais. As explorações podem teoricamente roubar informações relacionadas a outros sites nos quais você se conectou, mas não está tentando acessar no momento.
Os invasores remotos podem, hipoteticamente, até usar essa vulnerabilidade para ler o conteúdo do email que você acessa de uma interface da web ou de postagens privadas enviadas a você em sites de redes sociais.
A tecnologia de solicitação de origem cruzada fornece o núcleo em que a vulnerabilidade pode ser construída em teoria. Os navegadores modernos não permitem que os sites façam solicitações de origem cruzada porque os engenheiros modernos acreditam que há alguns motivos legítimos para um site olhar as informações fornecidas por outro.
Os navegadores da web não são tão específicos quando se trata de buscar outros tipos de arquivos de mídia hospedados em origens externas, uma vez que esse tipo de solicitação é necessariamente para carregar streaming de áudio e vídeo.
O código do site geralmente tem permissão para carregar arquivos de áudio e vídeo de outro domínio sem solicitar que o navegador exiba um erro de solicitação não autorizada. Os navegadores também podem suportar alguns tipos de cabeçalho de intervalo e respostas de carregamento parcial de conteúdo, que supostamente entregam pequenos pedaços de um pedaço maior de mídia de streaming.
Microsoft Edge, Mozilla Firefox e outros navegadores modernos podem ser enganados para carregar solicitações irregulares usando este método, de acordo com a pesquisa de Archibald. Foi demonstrado que esses navegadores permitem cópias de teste de dados opacos de várias fontes até um usuário final.
Atualmente não há instâncias conhecidas de crackers fazendo uso deste vetor de ataque. Wavethrough, como Archibald o chama, já foi corrigido no Chrome e Safari sem realmente tentar fazer isso propositalmente. Ele afirmou que gostaria que esse tipo de recurso de segurança tivesse sido escrito como um padrão de navegação para que todos os navegadores modernos fossem imunes à vulnerabilidade.
Embora não tenha havido nenhuma notícia sobre a resposta da Microsoft ou Mozilla ao bug, não é difícil acreditar que os patches serão lançados com a próxima grande atualização de ambos os navegadores. Os engenheiros também podem, algum dia, pressionar para que esse projeto seja o padrão, como Archibald desejava.
Tag Google Chrome segurança na web
