Microsoft Azure by Ingram Micro (Thailand)

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้

Credit: Chaliya/ShutterStock.com

โดยปกติแล้ว เว็บเบราว์เซอร์สมัยใหม่จะไม่อนุญาตให้ส่งคำร้องขอเพื่อเรียกดูข้อมูลบนเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มามาจากเว็บไซต์ที่ผู้ใช้กำลังเข้าชมอยู่ เว้นแต่ว่าเว็บไซต์นั้นๆ จะยินยอมเอง เพื่อป้องกันไม่ให้เกิดการร้องขอที่ไม่ได้อนุญาตโดยแอบอ้างนามของผู้ใช้เพื่อขโมยข้อมูลบนเว็บไซต์อื่นๆ ได้

อย่างไรก็ตาม Archibald พบว่า เว็บเบราว์เซอร์กลับไม่ตอบสนองดังที่ควรจะเป็นเมื่อมีการร้องขอข้อมูลไฟล์มัลติมีเดียบนเว็บไซต์อื่นๆ ส่งผลให้เว็บไซต์ที่ผู้ใช้กำลังเข้าชมอยู่นั้นสามารถโหลดไฟล์เสียงหรือวิดีโอจากเว็บไซต์ (โดเมน) อื่นๆ ได้อย่างไม่ติดเงื่อนไขใดๆ เขาเรียกช่องโหว่ที่ค้นพบนี้ว่า Wavethrough

นอกจากนี้ เว็บเบราว์เซอร์สมัยใหม่ยังรองรับการเรียกดูไฟล์เสียงหรือวิดีโอแบบเป็นส่วนๆ แล้วนำมาประกอบกันภายหลังในกรณีที่ไฟล์มัลติมีเดียมีขนาดใหญ่ ซึ่งช่วยให้สามารถกดหยุดหรือเล่นไฟล์ต่อขณะเล่นไฟล์หรือดาวน์โหลดไฟล์ได้ แต่การประกอบไฟล์ตรงจุดนี้เองกลับยินยอมให้นำไฟล์จากหลายๆ แหล่งที่มาประกอบกันได้ ซึ่งก่อให้เกิดช่องโหว่ให้แฮ็กเกอร์โจมตีเข้ามาได้เช่นกัน

ด้านล่างเป็นตัวอย่างวิดีโอสาธิตการโจมตีที่ Archibald ทำเพื่อบายพาสกลไกการป้องกัน Cross-origin Request ของเว็บเบราว์เซอร์ แล้วขโมยข้อมูลจาก Gmail และ Facebook

จากการตรวจสอบพบว่า ช่องโหว่ Wavethrough ส่งผลกระทบบน Mozilla Firefox และ Microsoft Edge แต่ไม่ส่งผลกระทบบน Google Chrome และ Apple Safari แต่อย่างใด อย่างไรก็ตาม ทั้ง Mozilla และ Microsoft ก็ได้ออกแพตช์สำหรับอุดช่องโหว่บนเบราว์เซอร์เวอร์ชันล่าสุดเป็นที่เรียบร้อย

รายละเอียดเชิงเทคนิค: https://jakearchibald.com/2018/i-discovered-a-browser-bug/

ที่มา: https://thehackernews.com/2018/06/browser-cross-origin-vulnerability.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

NVIDIA เปิดตัว Blackwell B200 GPU และ GB200 Superchip

NVIDIA ประกาศเปิดตัว Blackwell B200 GPU และ GB200 Superchip ชิปประมวลผล AI รุ่นใหม่