Специалистът по сигурността Рон Масас, който работи с Imperva, е открил уязвимост в интернет браузъра Google Chrome, при която се експлоатират видео и аудио таговете в атака, събираща важна потребителска информация. Той обяснява, че причината за уязвимостта се крие в енджина на браузъра – Blink, която от своя страна отговаря за управлението на видео и аудио таговете.
Уязвимостта в Google Chrome дава възможност на атакуващия да инжектира зловредни кодове в аудио и видео таговете, което му позволява да наблюдава отговорите на заявките към платформи като Google, Facebook и пр. При нормални условия CORS (Cross-Origin Resource Sharing) функцията при браузърите не позволява точно това споделяне на ресурси и информация от други уеб сайтове, но уязвимостта превъзмогва тази защита.
Друг специалист по сигурността Майк Гуалтери обяснява, че уязвимостта може да бъде експлоатирана в различни сценарии и не само при социалните платформи. Според него с тази уязвимост могат да се атакуват вътрешни мрежи, корпоративни бекенди, корпоративни приложения и да се събира ценна информация.
Малко след като е открил уязвимостта, Рон Масас съобщава за нея на Google (CVE-2018-6177) и тя е запушена в следващото издание 68.0.3440.75. Специалистите съветват да актуализирате версията си възможно най-скоро, за да може да бъде гарантирана вашата сигурност.
