Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN

Коды для вставки в блог\форум




Интересные новости
Незавершенная версия Windows 7 работает лучше VistaНезавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентацийQuick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

Браузер Chrome защитит пользователей от “тяжелой” рекламыБраузер Chrome защитит пользователей от “тяжелой” рекламы
Google догадался группировать вкладки в ChromeGoogle догадался группировать вкладки в Chrome
Работавшую с 2016 года в Киеве бесплатную школу программирования UNIT Factory закрываютРаботавшую с 2016 года в Киеве бесплатную школу программирования UNIT Factory закрывают
Google приостановил выпуск новых версий Chrome и Chrome OSGoogle приостановил выпуск новых версий Chrome и Chrome OS
Браузер Google Chrome научили имитировать нарушения зренияБраузер Google Chrome научили имитировать нарушения зрения
В Windows обнаружена новая критическая уязвимостьВ Windows обнаружена новая критическая уязвимость
Только менять: в чипсетах Intel найдена неустранимая уязвимостьТолько менять: в чипсетах Intel найдена неустранимая уязвимость
Материнские платы Gigabyte и Windows 10 столкнулись с «проблемой 3000 года»Материнские платы Gigabyte и Windows 10 столкнулись с «проблемой 3000 года»
Google выпустил расширение Lighthouse для FirefoxGoogle выпустил расширение Lighthouse для Firefox
Firefox включит DNS-over-HTTPS по умолчанию для пользователей в СШАFirefox включит DNS-over-HTTPS по умолчанию для пользователей в США
Последние новости

Подгружаем последние новости