اشکال در مرورگر Microsoft Edge امکان دستیابی مهاجمان به اطلاعات حساس کاربران را فراهم می‌کند

اشکال در مرورگر Microsoft Edge امکان دستیابی مهاجمان به اطلاعات حساس کاربران را فراهم می‌کند

یک توسه‌دهنده امنیتی گوگل مشکل مهم امنیتی در مرورگر Microsoft Edge و تا حدودی در مرورگر فایرفاکس یافته که این امکان را برای یک مهاجم فراهم می‌کند تا به اطلاعات خصوصی فرد قربانی دسترسی داشته باشد. طبق گفته Jake Archibald که به طور تصادفی این حفره امنیتی را پیدا کرده، این مشکل موجب می‌شود تا شما وقتی با مرورگر Microsoft Edge سایتی را بازدید می‌کنید، صاحب آن سایت می‌تواند ایمیل‌ها، محتویات فیسبوک و اطلاعات هر حساب دیگر شما را بخواند بدون آنکه شما آگاه شوید. این آسیب‌پذیری با شناسه CVE-2018-8235 این امکان را به مهاجم می‌دهد تا از راه دور محتوای زبانه‌ها یا تب‌های دیگر مرورگر قربانی را بازیابی کند که می‌تواند شامل سایت‌هایی هم شود که نیاز به تایید هویت خود فرد دارند. از چهار مرورگر اصلی این مشکل امنیتی عمدتاً بر Microsoft Edge تأثیرگذار است که در هفته گذشته وصله این آسیب‌پذیری را منتشر کرده‌است. تنها نسخه بتا در مرورگر فایرفاکس تحت تأثیر این آسیب‌پذیری قرار دارد و مرورگرهای Safari و کروم تحت تأثیر نیستند. این نقص مرتبط با مرورگرهایی است که درخواست‌های متقابل مبدا را به محتوای چند رسانه ای مربوط می‌سازند. طبق گفته Bleeping Computer این آسیب‌پذیری زمانی مورد سوءاستفاده قرار می‌گیرد که یک سایت مخرب از فراهم‌کنندگان سرویس استفاده کند تا محتوای داخل یک تگ <audio> را از دامنه دیگری بارگذاری کند، درحالیکه از پارامتر “range” برای استخراج تنها یک بخش از آن فایل استفاده ‌می‌شود. مرورگرها هیچوقت هنگام بارگذاری فایل‌های داخل تگ audio از جاهای دیگر و کمک فراهم‌کنندگان سرویس استفاده نمی‌کنند و یک وب‌سایت مخرب می‌تواند چنین محتوایی را از یک سایت دیگر بدون بررسی بدست آورد. پس از فریب قربانی به بازدید چنین سایتی مهاجم می‌تواند محافظت از مرورگر با نام (CORS (Cross-Origin Resource Sharing را متوقف سازد. وظیفه این بخش این است که بطور معمول دستیابی سایت‌ها را به محتوای سایر سایت‌ها متوقف کند. مایکروسافت این مشکل را اینگونه توصیف می‌کند: آسیب‌پذیری دور زدن ویژگی امنیتی زمانی ایجاد می‌شود که Microsoft Edge به اشتباه درخواست‌های مبدأهای مختلف را اداره می‌کند. به گفته مایکروسافت، مهاجمی از آسیب‌پذیری سوءاستفاده می‌کند می‌تواند مرورگر را به ارسال داده‌هایی که به طریق دیگری محدود می‌شود، تحمیل کند. از آنجاییکه شرکت مایکروسافت اخیراً وصله‌ای برای این آسیب‌پذیری منتشر کرده‌است به کاربران توصیه می‌شود مرورگر خود را به‌روزرسانی کنند.