日前,Google研究人员Jake Archibald在微软Edge浏览器中发现了一个严重漏洞,
它被追踪为CVE-2018-8235,该漏洞被称为“Wavethrough”,远程攻击者可以利用该漏洞绕过同源策略(SOP)限制,来获取敏感数据。
“当Microsoft Edge不正确地处理不同来源的请求时,存在一个安全功能绕过漏洞。” 微软公布了安全通报。“该漏洞允许Microsoft Edge绕过同源策略(SOP)限制, 成功利用此漏洞的攻击者可强制浏览器发送数据。”
如果媒体元素使用Range标头发出“拒绝服务” 请求,fetch()将删除标头,因为它在“拒绝服务” 请求中是不允许的,“拒绝服务” 请求通过cookie发送并接收响应,一些API可能会访问这些响应中的数据,导致泄露。
Archibald通过基于特制网站的攻击场景发现FireFox的 beta 、 nightly 版本和Edge浏览器都可能发生此错误,目前已针对该漏洞提出修复措施,FireFox和Edge浏览器也在其最新版本中修复了该漏洞。
分享到:
閱讀更多 安勝ANSCEN 的文章
