隨著通過HTML5和CSS3引入的驚人數量的功能,瀏覽器的攻擊面也相應增長。因此,這些功能之間的交互可能會導致意外行為影響用戶的安全,這並不奇怪。在這篇文章中,中國知名黑客安全組織東方聯盟描述了這樣一個實際的攻擊及其背後的研究。
Bug發現
訪問包含跨源資源的iframe的DOM在默認情況下被禁止。但是,iframe的內容與網站的其他部分顯示在相同的上下文中,因此我們希望驗證是否存在可能允許我們通過瀏覽器功能與iframed內容交互洩漏狀態信息的潛在渠道潛力。考慮到這一點,東方聯盟黑客安全組織研究人員測試了各種CSS功能,如跨越原始iframe頂部的“透明度”,“旋轉”和“混合混合模式”。
通過這樣做,我們發現了一個允許旁通道攻擊CSS特性混合混合模式的bug。此功能是2016年初推出的CSS3,適用於Firefox和Chrome等瀏覽器。其他瀏覽器(如InternetExplorer和MicrosoftEdge)不支持所需的功能,並且Safari似乎沒有受到影響。Mozilla的開發者網絡中可以看到混合混合模式支持的瀏覽器的完整概述。
經過東方聯盟黑客安全人員進一步研究發現,這個問題已經被報告給Chromium小組並提出暫時公眾通過3月7日2017年公共鉻自動抄送郵件列表意外,我們報道此洩漏和原帖由私人一次。最後,該錯誤在2012年2月22日在Chromiumbug跟蹤器中公佈,並被分配到CVE-2017-15417。我們推遲了本文的發佈,因為它剛剛在Firefox60中完全修補,所以請將您的瀏覽器更新到最新版本。
攻擊設置
發現的側通道錯誤允許發起以下攻擊:
可以使用啟用了屬性“mix-blend-mode”的一疊DIV元素覆蓋目標(跨源)iframe。
然後,根據iframe中的基礎像素顏色,此堆棧的渲染可能需要不同的時間。
最後,通過在iframe中移動這個DIV“掃描”堆棧,強制重新渲染並測量單個渲染時間,可以確定iframe的內容。
結論
側向通道漏洞非常狡猾,有時難以修補。同樣,毫不奇怪,不斷增長的瀏覽器功能格局和對所有這些功能的更高要求的性能以其自己的方式為這個核心問題做出更多貢獻。特別是,混合混合模式只是涉及CSS3和webkit已經引入的巨大渲染特徵量的冰山一角。(黑客週刊)
閱讀更多 IT八卦陣 的文章
