Created: 2018-09-10 12:00:00

鑒於該漏洞補丁已經發布，強烈建議用戶確認，已升級該瀏覽器最新版本

作者：Tomas Foltyn  時間：2018年6月22日下午2:32時

谷歌公司的開發人員發現了主要影響微軟Edge網頁瀏覽器，並在一定較低程度上影響Mozilla Firefox的一個高危漏洞，可被攻擊者用來訪問受害者的私人信息。

“這可是個大bug，意味著如果您使用Edge瀏覽器訪問我的網站，我就可以讀取您的私人電郵、 您的Facebook信息，對此您全然不知。”Jake Archibald寫道。他意外發現了這一安全漏洞，並將其命名為 “滲透波”。

該漏洞的詳細描述請見CVE-2018-8235，可令遠程攻擊者通過受害者瀏覽器之中的其他分頁訪問數據，涉及到要求用戶進行身份驗證的一類網站。

四大主流瀏覽器中，這一安全漏洞主要影響微軟Edge瀏覽器。微軟在獲悉Archibald所反饋的漏洞預警信息後，隨2018年6月星期二常規更新發布了專門補丁。對於Firefox而言，只有公測版受此影響，Mozilla在該漏洞能夠波及到Firefox穩定版用戶之前，緊急發布了修正程序。

漏洞機理

該漏洞涉及到瀏覽器對多媒體內容跨域請求的處理機制。據Bleeping Computer披露，當惡意網站通過服務調用機制，加載另一網域<音頻>標簽之中內容的同時，運用“範圍”參數只調取該文件的部分區段，便可觸發該漏洞。

在借助服務調用機制，加載源自其他路徑的音頻標簽內部文件，使惡意網站能夠獲取另一站點內容並不被察覺方面，不同瀏覽器對此做出的反應不一。

引誘受害者訪問網站後，攻擊者便能有效規避名為CORS（跨域資源共享）的瀏覽器安全機制，使之無法正常阻止網站獲取其他站點內容的訪問權。

微軟將該漏洞列為“安全功能規避性漏洞，當微軟Edge瀏覽器無法正確處理多來源請求時便會存在。”

“攻擊者在成功利用此漏洞後，便能迫使瀏覽器發送原本限制上傳的數據，”微軟稱。

Tomas Foltyn 2018年6月22日下午2:32時

 

關於 Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一，公司發展及代理各種不同的互聯網、資訊科技、多媒體產品，其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴，Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區，客戶來自各行各業，包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於 ESET

ESET成立於1992年，是一家面向企業與個人用戶的全球性的電腦安全軟件提供商，其獲獎產品 &mdash; NOD32防病毒軟件系統，能夠針對各種已知或未知病毒、間諜軟件 （spyware）、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少，偵測速度最快，可以提供最有效的保護，並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為&ldquo;德勤高科技快速成長500 強&rdquo;（Deloitte&rsquo;s Technology Fast 500）公司，擁有廣泛的合作夥伴網絡，包括佳能、戴爾、微軟等國際知名公司，在布拉迪斯拉發（斯洛伐克）、布裏斯托爾（英國 ）、布宜諾斯艾利斯（阿根廷）、布拉格（捷克）、聖地亞哥（美國）等地均設有辦事處，代理機構覆蓋全球超過100個國家。