Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Microsoft вновь запустила обновление Windows 10 October 2018Microsoft вновь запустила обновление Windows 10 October 2018
Новое обновление Windows 10 выдаёт «синий экран смерти»Новое обновление Windows 10 выдаёт «синий экран смерти»
Adobe выпустит полноценный Photoshop для iPadAdobe выпустит полноценный Photoshop для iPad
Владелец Winamp перезапустит плеер в 2019 годуВладелец Winamp перезапустит плеер в 2019 году
Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Блок рекламы


Похожие новости

Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Уязвимость «нулевого дня» найдена во всех операционных системах WindowsУязвимость «нулевого дня» найдена во всех операционных системах Windows
Google вернул «www» и «m.» в адресную строку браузера ChromeGoogle вернул «www» и «m.» в адресную строку браузера Chrome
Google приступил к запуску нового дизайна ChromeGoogle приступил к запуску нового дизайна Chrome
Браузер Google Chrome отмечает юбилейБраузер Google Chrome отмечает юбилей
Mozilla Firefox начнет автоматически блокировать любой код отслеживания со сторонних сайтовMozilla Firefox начнет автоматически блокировать любой код отслеживания со сторонних сайтов
Google обновит дизайн Chrome в сентябреGoogle обновит дизайн Chrome в сентябре
Google Chrome стал доступен на VR-устройствах Daydream ViewGoogle Chrome стал доступен на VR-устройствах Daydream View
Google готовит редизайн браузера ChromeGoogle готовит редизайн браузера Chrome
В Google Chrome появится встроенный определитель «тяжёлых» страницВ Google Chrome появится встроенный определитель «тяжёлых» страниц
Последние новости

Подгружаем последние новости