.png "عصر ایران")
۰۷ ارديبهشت ۱۴۰۳
به روز شده در: ۰۷ ارديبهشت ۱۴۰۳ - ۰۷:۰۰
کلیپی از رقص دسته جمعی محسن کیایی، محمد بحرانی، محسن شریفیان (فیلم) هشدار جدی به کاربران فایرفاکس و Edge
این آسیبپذیری در نحوه اداره درخواستهای وبگاه به فایل های ویدئویی و صوتی است که در صورت سوءاستفاده از این آسیبپذیری، مهاجم از راه دور می تواند حتی محتوای GMAIL یا پیام های خصوصی فیسبوک را بخواند.
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به آسیب پذیری بحرانی در مرورگرهای فایرفاکس و Edge هشدار داد این آسیب پذیری امنیتی حسابهای آنلاین کاربر را سرقت می کند.
به گزارش مهر، یک پژوهشگر گوگل آسیبپذیری حساسی در مرورگرهای مدرن کشف کرده که می تواند محتوای حسابهای آنلاین که در وبسایتها وارد شده است را به سرقت ببرد.
این آسیبپذیری در نحوه اداره درخواستهای وبگاه به فایل های ویدئویی و صوتی است که در صورت سوءاستفاده از این آسیبپذیری، مهاجم از راه دور می تواند حتی محتوای GMAIL یا پیام های خصوصی فیسبوک را بخواند.
براین اساس اعلام مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا)، به دلایل امنیتی، مرورگرهای مدرن به وبسایت ها اجازه نمیدهند که درخواست های متقابل به یک دامنه متفاوت ایجاد کنند، مگر اینکه به دامنهای اجازه مجزا داده شود. بدین معنی که هر وبسایتی تنها می تواند داده ها را از همان مبدا که بارگیری شده است، درخواست کند.
این کار باعث می شود که از هرگونه درخواست غیر مجاز به جهت سرقت اطلاعات از سایر سایت ها جلوگیری شود. هرچند که مرورگرها در قبال فایل های ویدئویی و صوتی چنین محدودیتی ندارند و امکان دریافت آنها از سایر وبگاهها وجود دارد.
علاوه بر این، مرورگرها قابلیتی دارند که محتوای جزئی فایلهای رسانهای بزرگ را ارائه دهند که در حین پخش رسانههای بزرگ و یا دانلود فایلها با قابلیت resume مورد استفاده قرار میگیرند. به عبارت دیگر عناصر رسانهای این قابلیت را دارند قطعات مختلف پاسخها را به یکدیگر متصل کند و به عنوان یک فایل واحد با آن برخورد شود.
پژوهشگران متوجه شدند که مرورگرهای Mozilla و Edge اجازه میدهند تا عناصر رسانهای با دادههای قابل مشاهده و مبهم از منابع مختلف با یکدیگر ترکیب شوند. این مورد باعث میشود تا مهاجمان بتوانند حملات پیشرفتهای را انجام دهند. این آسیبپذیری با نام Wavethrough معرفی شده است.
به گفته پژوهشگران این آسیبپذیری میتواند از طریق یک وبسایت مخرب و با استفاده از فایل رسانهای جاسازی شده در صفحه، مورد سوءاستفاده قرار گیرد. زمانی که فایل رسانهای پخش میشود، بخشی از آن از سرور خود سایت و بخش دیگر از منبعی دیگر دریافت میشود که مرورگر را وادار به انجام درخواست متقابل یا cross-origin میکند.
پژوهشگری که این آسیبپذیری را معرفی کرده است، اثبات مفهومی (PoC) و نحوه عملکرد آنرا در یک ویدئو منتشر کرده است. در این ویدئو نمایش داده میشود که اطلاعات خصوصی جیمیل و فیسبوک از طریق این آسیبپذیری قابل دریافت است.
از آنجایی که کروم (Chrome ) و سافاری ( Safari ) در حال حاضر برای جلوگیری از چنین درخواستهای متقابلی قوانینی درج کردهاند، از کاربرانشان در قبال اینگونه حملات محافظت شده است.
مرورگرهای Firefox و Edge نیز پس از مطلع شدن از این آسیبپذیری، با بروزرسانی، آن را برطرف کردهاند.
از این رو، به کاربران این دو مرورگر توصیه میشود تا اطمینان حاصل کنند که از آخرین نسخه آنها استفاده میکنند.
نظرات کاربران
لینک کوتاه: کپی لینک
کشف یک دفینۀ «معطّر» در زیر خانۀ اولین رئیسجمهور آمریکا (+عکس) انجام ۲۰ دقیقه بازی تتریس می تواند از ابتلا به اختلال اضطراب پس از حادثه جلوگیری کند سلبریتی های مترو سوار؛ هالیوودی هایی که ممکن است آن ها را در مترو ببینید (+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (7 اردیبهشت) کشف اسکلتهای 5 هزارساله که به شیوۀ «مافیا» قربانی شده بودند (+عکس) ۳ مورد از شگفت انگیزترین اکتشافات مصر باستان؛ از شهر طلایی تا مقبره نفرین شده (+عکس) بمب منفجرنشدهای که 100 سال زینتبخش یک باغچه بود! (+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (6 اردیبهشت) 130 سال قبل چه اتفاقی افتاد که «گوسفندها» دیوانه شدند؟! تخت جمشید دوم ایران کجاست؟ تخلفات راهنمایی و رانندگی و مبلغ جریمه ها در کشورهای همسایه چگونه است؟ 10 سریال گانگستری تماشایی که بر اساس داستان واقعی ساخته شدند(+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (5 اردیبهشت) این کیک کرامبل توت فرنگی را با روشی متفاوت بپزید تهدیدی به نام سندروم «ددی ایشو»!
وبگردی