未加星标

令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,能够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Weier 和另外一名安全研究人员。


该漏洞归因于 2016 年 CSS3 Web 标准中引入的名为 “mix-blend-mode” 的特性,允许 Web 开发人员将 Web 组件叠加在一起,并添加控制其交互方式的效果。为展示此漏洞,研究人员造访了一个恶意网站,发现可以利用跨域 iframe 获取用户的 Facebook 资料,包括照片和用户名等信息,整个过程不需要与用户有额外的互动。


令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

Habalov 在文中解释称,在启用 “mix-blend-mode” 时,攻击者可以利用 DIV 元素的层叠来覆盖目标对象的浮动框架(iframe),浏览器渲染此一层叠的时间会根据浮动框架内的像素颜色而有所不同,最后在浮动框架中移动该 DIV 层叠,强迫重新渲染并测量个别的渲染时间,即有可能算出浮动框架的内容。经过测试,大概 20 秒左右就能拿到用户的 ID ,5 分钟左右就能拿到模糊的个人资料和图片。


令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

据悉,受影响的浏览器主要是 Firefox 和 Chrome,Internet Explorer 和 Microsoft Edge 不受影响是因为它们不支持 mix-blend-mode,Safari 由于采用的是矢量化的实现方式也不受影响。

Habalov 在验证漏洞后,于去年向浏览器开发商和 Facebook 报告了该漏洞,Facebook 的最终回复是对此无能为力,Google 和 Mozilla 在 Chrome v63.0 和 Firefox Quantum v 60.0 中修复了该漏洞。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 漏洞,Firefox,Chrome,浏览器,Facebook,mode,blend,mix,Habalov,Web,框架,浮动,层叠,Google,CSS
分页:12
转载请注明
本文标题:令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪
本站链接:https://www.codesec.net/view/577168.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(209)