นักพัฒนา Google Chrome เรียกร้องให้โปรแกรมเมอร์ดำเนินการกับ Wavethrough Vulnerability

Google, LLC

Jake Archibald นักพัฒนาผู้สนับสนุนของ Google Chrome ได้ค้นพบช่องโหว่ที่ร้ายแรงพอสมควรในเทคโนโลยีการท่องเว็บสมัยใหม่ที่อาจอนุญาตให้ไซต์ขโมยรายละเอียดการเข้าสู่ระบบรวมถึงข้อมูลที่ละเอียดอ่อนอื่น ๆ ในทางทฤษฎีการหาประโยชน์อาจขโมยข้อมูลที่เกี่ยวข้องกับไซต์อื่น ๆ ที่คุณลงชื่อเข้าใช้ แต่ไม่ได้พยายามเข้าถึง

ผู้โจมตีระยะไกลสามารถใช้ช่องโหว่นี้เพื่ออ่านเนื้อหาของอีเมลที่คุณเข้าถึงจากเว็บอินเทอร์เฟซหรือโพสต์ส่วนตัวที่ส่งถึงคุณบนเว็บไซต์เครือข่ายสังคม

เทคโนโลยีการร้องขอข้ามแหล่งกำเนิดเป็นแกนหลักที่สามารถสร้างช่องโหว่ในทางทฤษฎีได้ เบราว์เซอร์สมัยใหม่ไม่อนุญาตให้ไซต์ส่งคำขอข้ามแหล่งที่มาเนื่องจากวิศวกรสมัยใหม่เชื่อว่ามีเหตุผลที่ถูกต้องเพียงไม่กี่ประการที่ไซต์หนึ่งจะดูข้อมูลที่มาจากอีกไซต์หนึ่ง

เว็บเบราว์เซอร์ไม่ได้มีความเฉพาะเจาะจงในการดึงไฟล์สื่อประเภทอื่น ๆ ที่โฮสต์อยู่ภายนอกต้นทางเนื่องจากคำขอประเภทนี้จำเป็นต้องโหลดสตรีมเสียงและวิดีโอ

โดยทั่วไปรหัสไซต์ได้รับอนุญาตให้โหลดไฟล์เสียงและวิดีโอจากโดเมนอื่นโดยไม่ต้องแจ้งให้เบราว์เซอร์แสดงข้อผิดพลาดคำขอที่ไม่ได้รับอนุญาต เบราว์เซอร์อาจรองรับส่วนหัวของช่วงบางประเภทและการตอบสนองต่อการโหลดเนื้อหาบางส่วนซึ่งควรจะส่งมอบสื่อสตรีมมิ่งขนาดเล็กชิ้นใหญ่

Microsoft Edge, Mozilla Firefox และเบราว์เซอร์สมัยใหม่อื่น ๆ อาจถูกหลอกให้โหลดคำขอที่ผิดปกติโดยใช้วิธีนี้ตามการวิจัยของ Archibald แสดงให้เห็นว่าเบราว์เซอร์เหล่านี้อนุญาตสำเนาทดสอบของข้อมูลทึบแสงจากหลายแหล่งผ่านไปยังผู้ใช้ปลายทาง

ขณะนี้ยังไม่มีอินสแตนซ์ของแครกเกอร์ที่เป็นที่รู้จักที่ใช้เวกเตอร์การโจมตีนี้ Wavethrough ตามที่ Archibald เรียกมันได้รับการแก้ไขแล้วใน Chrome และ Safari โดยไม่ได้พยายามทำเช่นนั้นจริงๆ เขาระบุว่าเขาต้องการให้คุณลักษณะการรักษาความปลอดภัยประเภทนี้ได้รับการเขียนเป็นมาตรฐานการท่องเว็บเพื่อให้เบราว์เซอร์สมัยใหม่ทั้งหมดได้รับการป้องกันจากช่องโหว่

แม้ว่าจะยังไม่มีข่าวใด ๆ เกี่ยวกับ Microsoft หรือ Mozilla ที่ตอบสนองต่อข้อบกพร่อง แต่ก็ไม่ยากที่จะเชื่อว่าแพตช์จะออกมาพร้อมกับการอัปเดตครั้งใหญ่ครั้งต่อไปของเบราว์เซอร์ทั้งสองนี้ วิศวกรอาจผลักดันให้การออกแบบนี้เป็นมาตรฐานตามที่ Archibald ต้องการในสักวันหนึ่ง