TMT观察网_独特视角观察TMT行业

WF曲速未來發現： Chrome瀏覽器中的一個漏洞（已被修補），該漏洞允許攻擊者通過音頻或視頻的HTML標記從其他網站檢索敏感信息。

如果攻擊者可以通過惡意廣告（合法網站上嵌入廣告中的惡意代碼）或攻擊者可以注入和執行的合法網站上的漏洞攻擊惡意網站上的受害者，則可以利用舊版本Chrome中的漏洞利用此漏洞代碼——例如通過存儲的跨站點腳本（XSS）缺陷來進行。

Attack利用音頻和視頻的HTML標簽

在今天早些時候發布并與Bleeping Computer共享的一篇文章中，Masas解釋說，攻擊場景需要惡意代碼來加載來自音頻和視頻的HTML標簽內合法站點的內容。

通過使用“進展”事件，Masas說他可以推斷出他從外部網站獲得的回復的大小，并猜測各種類型的信息。

在正常情況下，這是不可能的，因為CORS-Cross-Origin資源共享）——一種阻止站點從其他網站加載資源的瀏覽器安全功能，但是這種攻擊繞過了CORS。

“從本質上講，這個漏洞允許攻擊者使用視頻或音頻標簽來估計跨源資源的大小，”Masas今天通過電子郵件告訴Bleeping Computer。

攻擊可以從其他站點檢索敏感/受保護的數據

在他的測試中，他能夠通過在公共Facebook帖子上激活“受眾限制”設置來確定用戶可能的年齡組和性別

“通過操縱像Facebook這樣的網站以大或小的響應形式反映用戶數據，它成為可能一致地提取有價值的數據”Masas告訴了我們。

但專門研究網絡安全問題的安全研究員Mike Gualtieri表示，與從Facebook用戶那里收集數據相比，攻擊可以更有創意地使用。例如，通過定位企業后端，內部網和其他以企業為中心的應用程序。

“由企業IT定制的現成系統可能是這些類型攻擊的最佳目標，因為攻擊者可以學習系統內部，并可能影響系統的所有用戶，”

Gualtieri在一次私人談話中告訴的Bleeping Computer。

“通常情況下，基于登錄用戶，這些系統更加同質”他說，并補充說，攻擊者可以準備攻擊，專注于對存儲在企業Web應用程序特定區域中的敏感數據進行exfiltrating。

API也處于危險之中

此外，Gualtieri認為攻擊也可能成功對抗攻擊者通常無法訪問的API，但錯誤允許他們將請求轉發。

“今天找到弱受保護的web-API的通信數據是非常可行的，”Gualtieri告訴我們。

“具有足夠勤奮的攻擊者可以通過登錄用戶計算出一組預期請求，并針對這些API響應。

“例如，假設一家假想的股票交易公司有一個暴露的API端點，它返回的內容如下：

如果用戶已登錄請求可能是：

“因此，根據購買的一系列庫存，你可以推斷，”Gualtieri說。

“這個例子對許多人來說可能聽起來不切實際，但我看到太多設計糟糕/暴露不好的網絡。

API要知道有一些類似于網絡上這個假設的例子，“他補充道。

攻擊類似但不同于Wavethrough

如果Masas的攻擊聽起來很熟悉，那是因為它與3月份發布的漏洞非常相似，稱為Wavethrough（CVE-2018-8235），這是一個影響Edge和Firefox的漏洞。

就像Masas的Chrome bug一樣，Wavethrough使用音頻和視頻標簽繞過CORS保護，從其他站點加載數據并確定其內容。

但這就是相似性停止的地方。

“Wavethrough漏洞使用服務工作者和'范圍'請求來提取原始數據，”Masas告訴Bleeping Computer。另一方面，我們觀察從我們的元素發出的'進展'事件來估計跨源資源大小，然后利用這些信息通過利用Facebook等網站上的限制過濾器推斷出有關用戶的更多信息。

發現Wavethrough的Jake Archibald也表示，這兩次襲擊是相當不同的，即使它們是通過音頻和視頻HTML標簽進行的。

“它非常相似，但更多的是時間攻擊，而Wavethrough卻不是，”阿奇博爾德今天在一次私人談話中告訴Bleeping Computer。 “Wavethrough是一種原始模型違規行為。”

不同之處在于Wavethrough在破壞CORS后檢索它找到的任何數據，而Masas的漏洞在一系列請求試圖猜測數據是什么的時候，這個漏洞在不斷刺激其他網站。但是當Chrome漏洞聽起來更難以利用時，它事實并非如此。

“攻擊并不復雜，只需要做一些準備，”Gualtieri告訴我們，并補充說這個不斷猜測的游戲并不意味著Chrome的bug只限于單獨針對一個用戶。

“根據目標網站，猜測游戲可用于同時定位多個用戶”Gualtieri說。

WF曲速未來提醒：除非用戶希望將其網絡機密泄露到網上，否則建議將Chrome更新為v68.0.3440.75或更高版本。