Microsoft zakrpal varnostno vrzel v Edgeu
Dare Hriberšek
21. jun 2018 ob 17:40:48
Jake Archibald, sicer razvijalec pri Googlu, je v začetku leta v brskalnikih Mozilla Firefox in Microsoft Edge odkril čudno varnostno luknjo, ki je omogočala, da po prihodu na zlobno spletno stran njenemu upravljavcu razgalimo vse svoje podatke. To omogoča uporaba t. i. service workerjev, ki delujejo kot posrednik med brskalnikom, spletnimi aplikacijami in omrežjem. Njihov osnovni namen je bil zagotavljati čim bolj enakovredno spletno izkušnjo tudi brez omrežne povezave. Lahko denimo dovolijo pojavljanje potisnih obvestil ali pa odobrijo dostop do APIjev v ozadju spletne strani. Prav zaradi različnega obravnavanja teh posrednikov, s strani različnih brskalnikov, je s pomočjo service workerjev mogoče denimo v glasbeno datoteko na spletni strani podtakniti tudi zlobno kodo. Slednje običajno preprečuje CORS (Cross-Origin Resource Sharing), ki preprečuje, da bi neka stran nalagala podatke iz drugih spletnih virov. No, Mozilli in Edgeu je bilo mogoče poslati no-cors zahtevke, kar pomeni, da jih je spletna stran sprejela brez zadržkov.
"Lahko bi bral vašo pošto, vaš Facebook feed, vse, brez da bi vedeli za to," je luknjo za Bleeping computer opisal Archibald. Še bolj zanimivo pa je, kako so se na njegovo prijavo napake odzvali v obeh družbah. Pri Mozilli so se mu oglasili v treh urah, ravno v času, ko je bila zunaj beta različica Firefoxa 59. Popravkov so se lotili nemudoma, zato so ti izšli skupaj z uradno 59 različico brskalnika.
Pri Microsoftu so bili bolj obotavljivi. Od prvega marca, ko jih je Archibald obvestil o napaki, je trajalo vse do 12. junija, da so jo odpravili, prijavitelj pa je vmes moral kar nekajkrat posredovati pri znancih, ki je slučajno poznal v ekipi Edgea in na koncu poslužiti celo pritiska javnosti prek družabnih omrežij.