Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Adobe анонсировала кроссплатформенный видеоредактор Project RushAdobe анонсировала кроссплатформенный видеоредактор Project Rush
Алгоритм NVIDIA превращает обычные видео в замедленныеАлгоритм NVIDIA превращает обычные видео в замедленные
Блок рекламы


Похожие новости

Google запретит установку расширений для Chrome со сторонних сайтовGoogle запретит установку расширений для Chrome со сторонних сайтов
Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей
Обновление Google Chrome позволит авторизоваться на сайтах без паролей
Google и Microsoft нашли новую процессорную уязвимость. Патч может снизить производительность
В Chrome OS появилась поддержка Steam и Linux-приложенийВ Chrome OS появилась поддержка Steam и Linux-приложений
Chrome научился блокировать посторонние звуки на сайтахChrome научился блокировать посторонние звуки на сайтах
В Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакерыВ Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакеры
Фейковые адблокеры в Chrome Web Store собрали более 20 млн установокФейковые адблокеры в Chrome Web Store собрали более 20 млн установок
Google Chrome тестирует рекомендуемые запросыGoogle Chrome тестирует рекомендуемые запросы
Google Chrome сканирует пользовательские файлы на Windows. Это не опасно
Последние новости

Подгружаем последние новости