Connect with us

News

Sviluppatore Google scopre un bug critico nei moderni browser

Redazione

Published

on

Uno sviluppatore Google ha scoperto una grave vulnerabilità nei browser Web moderni che avrebbe consentito ai siti Web visitati di carpire i contenuti sensibili dei tuoi account online da altri siti Web che hai effettuato l’accesso allo stesso browser.

Scoperto da Jake Archibald, promotore degli sviluppatori per Google Chrome, la vulnerabilità risiede nel modo in cui i browser gestiscono le richieste di origine incrociata in file video e audio che, se sfruttati, potrebbero consentire agli utenti malintenzionati di leggere anche il contenuto dei messaggi Gmail o privati di Facebook.

Per motivi di sicurezza, i moderni browser Web non consentono ai siti Web di inoltrare richieste di origine incrociata a un dominio diverso, a meno che un dominio non lo consenta esplicitamente.

Ciò significa che se visiti un sito Web sul tuo browser, può solo richiedere dati dalla stessa origine da cui è stato caricato il sito, impedendogli di effettuare richieste non autorizzate per tuo conto nel tentativo di rubare i tuoi dati da altri siti.
Tuttavia, i browser Web non rispondono nello stesso modo durante il recupero di file multimediali ospitati su altre origini, consentendo a un sito Web visitato di caricare file audio / video da domini diversi senza alcuna restrizione.



In un post pubblicato, Archibald ha descritto questa vulnerabilità, che ha soprannominato Wavethrough , spiegando in che modo un utente malintenzionato può sfruttare questa funzionalità per ignorare le protezioni implementate dai browser che impediscono le richieste di origine incrociata.
Secondo Archibald, il bug può essere sfruttato da un sito Web dannoso utilizzando un file multimediale incorporato nella sua pagina Web.

Ti potrebbe interessare

Debutta il S.A.R.I il Sistema di Riconoscimento Fa... E' di questi giorni la notizia che grazie al sistema di riconoscimento facciale denominato S.A.R.I. sono stati individuati dei ladri di Brescia con un...
Riscatto di 20.000$ in Bitcoin per non far esplode... Il governo degli Stati Uniti ha confermato l'esistenza di e-mail di minacce di bomba che richiedono bitcoin dalle organizzazioni e ha suggerito passi ...
Microsoft rilascia PowerShell Core per Linux in Ub... Microsoft ha rilasciato il linguaggio di scripting PowerShell Core per il sistema operativo Linux come pacchetto Snap, rendendo più semplice per gli u...
Hacker Russi APT28 spiano l’Italia? Cse Cybersec un'azienda italiana che si occupa di sicurezza digitale ha segnalato che un malware ancora di potenzialità sconosciute sta circolando nel...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 14 DICEMBRE 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA
Copertina Hacker Journal 227