Gepatchter Edge-Bug verriet Inhalt anderer Webseiten

[English]Ein Bug in Microsofts Edge-Browser führte dazu, dass Angreifer eventuell den Inhalt andere Webseiten, die in Registerkarten geöffnet sind, abrufen können. Nicht gerade clever, wenn man sich auf diesen Seiten an Online-Konten anmelden will und ein Angreifer mitlesen kann.

Wie ich hier lese, ist dieser heftige Bug im Edge-Browser aber wohl im Juni 2018 gepatcht worden. Entdeckt wurde der Bug, der den audio-Tag missbraucht, von Google Entwicklern.

Fetter Bug erlaubte Webinhalte mitzulesen

Jake Archibald, der Google-Entwickler, der den Bug entdeckte, spricht von einem 'riesigen Bug' im Microsoft Browser. Denn der Bug ermöglichte es einer bösartigen Website, Inhalte von anderen Websites abzurufen, indem sie Audiodateien in einer Weise abspielt, die unbeabsichtigte Folgen hat. Der Autor hat eine Demoseite aufgesetzt, bei deren Besuch beispielsweise E-Mails eines geöffneten HTML-Mail-Postfachs mitgelesen werden konnten.

Service Worker missbraucht

Der Fehler konnte auftreten, wenn eine böswillige Website sogenannte Service Worker verwendet, um Multimedia-Inhalte innerhalb eines < audio >-Tags von einer Website zu laden, während gleichzeitig der Parameter "range" verwendet wird, um nur einen bestimmten Abschnitt dieser Datei zu laden.

Jake Archibald gibt an, dass es aufgrund von Inkonsistenzen bei der Behandlung von Dateien, die über die Service-Worker in Audio-Tags geladen werden, möglich ist, beliebige Inhalte innerhalb der bösartigen Website zu laden. Das ist unter normalen Umständen unmöglich, da dies durch die Browser-Sicherheitsfunktion CORS (Cross-Origin Resource Sharing) verhindert wird. Diese verhindert, dass Websites Ressourcen von anderen Websites laden.

Aber in dieser seltsamen Konfiguration kann die Website des Angreifers im Edge-Browser sogenannte "no-cors"-Anfragen stellen. Die adressierte Website (z.B. wie Facebook, Google Mail oder BBC) liefert dann die gewünschten Inhalte. Die böswillige Seite hätte Zugriff auf beliebige Informationen (auch solche, die eine Anmeldung an einem Online-Konto erfordern).

Nicht alle Browser von Wavethrough betroffen

Der Entdecker hat dem Bug den Namen Wavethrough (durchwinken) gegeben und diesem die CVE-2018-8235 zugewiesen. Kurioserweise waren nicht alle Browser von diesem Bug betroffen. Nur Edge und Firefox waren angreifbar, Google Chrome und Apples Safari waren sicher.

Beim Firefox waren nur Firefox Nightly-Versionen betroffen. Die Mozilla-Entwickler haben das Problem in der Nightly-Version behoben, bevor der Fehler es in die Hauptversion von Firefox Stable geschafft hat. Archibald vermutet aber, dass die Chrome-Entwickler den Wavethrough-Bug versehentlich gepatcht haben, als andere Patches implementiert wurden, die den "range"-Audio/Video-Selektor betreffen.

Auch Microsoft Edge ist gepatcht

Trotz einiger Hürden bei der Meldung des Problems an Microsoft hat der Betriebssystemhersteller den Wavethrough-Fehler in den Patch im Juni 2018 behoben. Microsoft hat das Ganze unter CVE-2018-8235 beschrieben. Details lassen sich bei Jake Archibald nachlesen.


Anzeige

Verbesserungen am Standard und Testseite

Bleeping Computer schreibt hier, dass Jake Archibald auch daran gearbeitet hat, die Webstandards zu verbessern, damit sie klarer werden, wie Browser mit dem Laden von Ressourcen von anderen Websites über Anfragen von Service-Workernn umgehen sollten. Archibald hat eine Proof-of-Concept-Seite aufgesetzt, um den Fehler zu demonstrieren. Ruft man die Seite auf, zeigt diese den Inhalt anderer im Browser geöffneter Seiten (oder auch nicht).

(Quelle: Youtube.com)

Das obige YouTube-Video stammt von Jake Archibald, und zeigt, wie Wavethrough Inhalte von der BBC-Website nur durch Abspielen einer Audiodatei auf einer anderen Seite ausgibt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Edge, Sicherheit abgelegt und mit Edge, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Gepatchter Edge-Bug verriet Inhalt anderer Webseiten

  1. Sam sagt:

    Schön, dass Du die Serviceworker später im Artikel Servicemitarbeiter nennst :D

    • Günter Born sagt:

      Mist, einen hatte ich übersehen, war ein bisschen früh am Morgen – ich entschuldige mich bei den falsch einsortieren Servicemitarbeitern und -mitarbeiterinnen. Danke für den Hinweis :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.