Google، LLC
اكتشف Jake Archibald ، مطور Google Chrome ، ثغرة خطيرة إلى حد ما في تقنية تصفح الويب الحديثة والتي قد تسمح للمواقع بسرقة تفاصيل تسجيل الدخول بالإضافة إلى معلومات حساسة أخرى. يمكن لبرامج الاستغلال نظريًا سرقة المعلومات المتعلقة بالمواقع الأخرى التي قمت بتسجيل الدخول إليها ولكنك لا تحاول الوصول إليها حاليًا.
من المفترض أن يستخدم المهاجمون عن بُعد هذه الثغرة الأمنية لقراءة محتوى البريد الإلكتروني الذي تصل إليه من واجهة الويب أو المنشورات الخاصة المرسلة إليك على مواقع الشبكات الاجتماعية.
توفر تقنية الطلب عبر المنشأ الجوهر الذي يمكن أن تُبنى عليه الثغرة من الناحية النظرية. لا تسمح المتصفحات الحديثة للمواقع بتقديم طلبات عبر المصدر لأن المهندسين المعاصرين يعتقدون أن هناك عددًا قليلاً من الأسباب المشروعة التي تجعل أحد المواقع ينظر إلى المعلومات المقدمة من موقع آخر.
لا تكون متصفحات الويب خاصة عندما يتعلق الأمر بجلب أنواع أخرى من ملفات الوسائط المستضافة على مصادر خارجية لأن هذا النوع من الطلبات هو بالضرورة لتحميل الصوت والفيديو.
يُسمح عمومًا لرمز الموقع بتحميل ملفات الصوت والفيديو من مجال آخر دون مطالبة المتصفح بعرض خطأ طلب غير مصرح به. قد تدعم المستعرضات أيضًا بعض أنواع رؤوس النطاق واستجابات تحميل المحتوى الجزئي ، والتي من المفترض أن تقدم أجزاء صغيرة من قطعة أكبر من وسائط البث.
قد يتم خداع Microsoft Edge و Mozilla Firefox والمتصفحات الحديثة الأخرى لتحميل الطلبات غير المنتظمة باستخدام هذه الطريقة وفقًا لبحث Archibald. تم عرض هذه المتصفحات للسماح بنسخ اختبارية من البيانات غير الشفافة من مصادر متعددة إلى المستخدم النهائي.
لا توجد حاليًا أي حالات معروفة لاستخدام المفرقعات لمتجه الهجوم هذا. تم تصحيح Wavethrough ، كما يسميه Archibald ، في Chrome و Safari دون محاولة فعل ذلك عن قصد. وذكر أنه كان يتمنى كتابة هذا النوع من ميزات الأمان كمعيار للتصفح بحيث تكون جميع المتصفحات الحديثة محصنة ضد الثغرة الأمنية.
على الرغم من عدم وجود أي أخبار عن استجابة Microsoft أو Mozilla للخطأ ، فليس من الصعب تصديق أنه سيتم إصدار التصحيحات مع التحديث الرئيسي التالي لكل من هذين المستعرضين. قد يدفع المهندسون يومًا ما من أجل أن يكون هذا التصميم قياسيًا كما أراد أرشيبالد.
العلامات جوجل كروم أمن الويب
