Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода. Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена. CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов. Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс". Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP. Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.
- 20 Авг, 11:37
Samourai Wallet: потенциальная уязвимость Wasabi Wallet угрожает анонимности пользователей
После детального изучения проблемы исследователи классифицировали уязвимости как критические. По данным OXT, проблема касается технологии микширования CoinJoin: при повторном смешивании выходов транзакций результат первого отменяется, что ставит под ...
- 3 Авг, 10:17
Huobi намерена инвестировать десятки миллионов долларов в DeFi-пространство
Компания Huobi Group открывает фонд с активами на десятки миллионов долларов в собственных капиталах для инвестиций в пространство децентрализованных финансов (DeFi). Согласно CoinDesk, для управления новым фондом было сформировано подразделение Huob...
- 29 Июл, 08:35
В Ledger сообщили об утечке персональных данных миллиона пользователей
О наличии уязвимости компании 14 июля сообщил сторонний исследователь, принимавший участие в баути-программе. При изучении проблемы выяснилось, что 25 июня неизвестная сторона получила доступ к базе данных, содержащей электронные и почтовые адреса, и...
В мире за неделю
-
6 Июн, 05:20+4 Разработчики Ethereum закрыли Linea — можно ли доверять сетям уровня 2?
-
6 Июн, 05:07+4 Bitwise: Цифровые валюты привлекут триллионы долларов
-
6 Июн, 02:30+5 ФБР предупреждает о мошенничествах с криптовалютой на фальшивых работах из дома
-
4 Июн, 07:58+4 Бизнесменам на заметку: майнинг может стать новым видом экономической деятельности
-
2 Июн, 13:40+7 Британский банк Kroo решил запретить своим клиентам совершать транзакции с криптовалютой
-
27 Май, 16:30+4 Почему Ethereum (ETH) будет расти
-
24 Май, 13:50+6 Материал Центробанк не видит массового инвестирования в криптовалюты, портал ПЛАС