.png "عصر ایران")
۰۹ دی ۱۴۰۳
به روز شده در: ۰۹ دی ۱۴۰۳ - ۰۰:۱۶
بارش برف مدارس زنجان را غیر حضوری کرد (فیلم) هشدار جدی به کاربران فایرفاکس و Edge
این آسیبپذیری در نحوه اداره درخواستهای وبگاه به فایل های ویدئویی و صوتی است که در صورت سوءاستفاده از این آسیبپذیری، مهاجم از راه دور می تواند حتی محتوای GMAIL یا پیام های خصوصی فیسبوک را بخواند.
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به آسیب پذیری بحرانی در مرورگرهای فایرفاکس و Edge هشدار داد این آسیب پذیری امنیتی حسابهای آنلاین کاربر را سرقت می کند.
به گزارش مهر، یک پژوهشگر گوگل آسیبپذیری حساسی در مرورگرهای مدرن کشف کرده که می تواند محتوای حسابهای آنلاین که در وبسایتها وارد شده است را به سرقت ببرد.
این آسیبپذیری در نحوه اداره درخواستهای وبگاه به فایل های ویدئویی و صوتی است که در صورت سوءاستفاده از این آسیبپذیری، مهاجم از راه دور می تواند حتی محتوای GMAIL یا پیام های خصوصی فیسبوک را بخواند.
براین اساس اعلام مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا)، به دلایل امنیتی، مرورگرهای مدرن به وبسایت ها اجازه نمیدهند که درخواست های متقابل به یک دامنه متفاوت ایجاد کنند، مگر اینکه به دامنهای اجازه مجزا داده شود. بدین معنی که هر وبسایتی تنها می تواند داده ها را از همان مبدا که بارگیری شده است، درخواست کند.
این کار باعث می شود که از هرگونه درخواست غیر مجاز به جهت سرقت اطلاعات از سایر سایت ها جلوگیری شود. هرچند که مرورگرها در قبال فایل های ویدئویی و صوتی چنین محدودیتی ندارند و امکان دریافت آنها از سایر وبگاهها وجود دارد.
علاوه بر این، مرورگرها قابلیتی دارند که محتوای جزئی فایلهای رسانهای بزرگ را ارائه دهند که در حین پخش رسانههای بزرگ و یا دانلود فایلها با قابلیت resume مورد استفاده قرار میگیرند. به عبارت دیگر عناصر رسانهای این قابلیت را دارند قطعات مختلف پاسخها را به یکدیگر متصل کند و به عنوان یک فایل واحد با آن برخورد شود.
پژوهشگران متوجه شدند که مرورگرهای Mozilla و Edge اجازه میدهند تا عناصر رسانهای با دادههای قابل مشاهده و مبهم از منابع مختلف با یکدیگر ترکیب شوند. این مورد باعث میشود تا مهاجمان بتوانند حملات پیشرفتهای را انجام دهند. این آسیبپذیری با نام Wavethrough معرفی شده است.
به گفته پژوهشگران این آسیبپذیری میتواند از طریق یک وبسایت مخرب و با استفاده از فایل رسانهای جاسازی شده در صفحه، مورد سوءاستفاده قرار گیرد. زمانی که فایل رسانهای پخش میشود، بخشی از آن از سرور خود سایت و بخش دیگر از منبعی دیگر دریافت میشود که مرورگر را وادار به انجام درخواست متقابل یا cross-origin میکند.
پژوهشگری که این آسیبپذیری را معرفی کرده است، اثبات مفهومی (PoC) و نحوه عملکرد آنرا در یک ویدئو منتشر کرده است. در این ویدئو نمایش داده میشود که اطلاعات خصوصی جیمیل و فیسبوک از طریق این آسیبپذیری قابل دریافت است.
از آنجایی که کروم (Chrome ) و سافاری ( Safari ) در حال حاضر برای جلوگیری از چنین درخواستهای متقابلی قوانینی درج کردهاند، از کاربرانشان در قبال اینگونه حملات محافظت شده است.
مرورگرهای Firefox و Edge نیز پس از مطلع شدن از این آسیبپذیری، با بروزرسانی، آن را برطرف کردهاند.
از این رو، به کاربران این دو مرورگر توصیه میشود تا اطمینان حاصل کنند که از آخرین نسخه آنها استفاده میکنند.
نظرات کاربران
لینک کوتاه: کپی لینک
دفتر اطلاعرسانی دولت فلسطین: ۸۱ درصد از آوارگان به خاطر سرمای شدید در غزه در بحران فاجعهباری گرفتار شدهاند وزیر راه و شهرسازی: تحریمها مانعی برای رفع کامل مشکلات ناوگان هوایی کشور شده است (فیلم) صف طولانی نفت سفید و گلایه مردم (فیلم) نتانیاهو به عفونت ادراری مبتلا شد/ او زیر تیغ جراحی میرود کشف ۵ قطعه از پرنده های کمیاب تاکسیدرمی در مازندران رویای بر باد رفته؛ ایران چه میتوانست باشد؟ (فیلم) مجازات اقدام مسلحانه علیه امنیت روسیه تشدید شد تخم مرغ را گران نخرید؛ فروش هرشانه تخم مرغ بالاتر از این قیمت گرانفروشی است (فیلم) وزیر راه و شهرسازی: در ۵ سال آینده یکونیم میلیون مسکن حمایتی باید ساخته شود (فیلم) واکنش جالب رضا رشیدپور به راهپیمایی موتوری علیه رفع فیلترینگ واتساپ و گوگل وزیر خارجه ایتالیا: پرونده خبرنگار ایتالیایی بازداشت شده در ایران «پیچیده» است/ دلیل رسمی بازداشت «سیسیلیا سالا» هنوز مشخص نیست ورود عجیب یک خودرو به جواهرفروشی برای سرقت (فیلم) سرمربی استقلال به همراه خانوادهاش در چالوس (+عکس) سنجاقک پا سفید در ژیتومیر اوکراین (فیلم) واکنش جالب رنگ جادویی ترموکرومیک روی خودرو (فیلم)