Sviluppatore Google scopre un bug critico nei moderni browser

Uno sviluppatore Google ha scoperto una grave vulnerabilità nei browser Web moderni che avrebbe consentito ai siti Web visitati di carpire i contenuti sensibili dei tuoi account online da altri siti Web che hai effettuato l’accesso allo stesso browser.

Scoperto da Jake Archibald, promotore degli sviluppatori per Google Chrome, la vulnerabilità risiede nel modo in cui i browser gestiscono le richieste di origine incrociata in file video e audio che, se sfruttati, potrebbero consentire agli utenti malintenzionati di leggere anche il contenuto dei messaggi Gmail o privati di Facebook.

Per motivi di sicurezza, i moderni browser Web non consentono ai siti Web di inoltrare richieste di origine incrociata a un dominio diverso, a meno che un dominio non lo consenta esplicitamente.

Ciò significa che se visiti un sito Web sul tuo browser, può solo richiedere dati dalla stessa origine da cui è stato caricato il sito, impedendogli di effettuare richieste non autorizzate per tuo conto nel tentativo di rubare i tuoi dati da altri siti.
Tuttavia, i browser Web non rispondono nello stesso modo durante il recupero di file multimediali ospitati su altre origini, consentendo a un sito Web visitato di caricare file audio / video da domini diversi senza alcuna restrizione.

In un post pubblicato, Archibald ha descritto questa vulnerabilità, che ha soprannominato Wavethrough , spiegando in che modo un utente malintenzionato può sfruttare questa funzionalità per ignorare le protezioni implementate dai browser che impediscono le richieste di origine incrociata.
Secondo Archibald, il bug può essere sfruttato da un sito Web dannoso utilizzando un file multimediale incorporato nella sua pagina Web.