原标题:Chrome与Firefox旁路漏洞可外泄用户的脸书档案
图片来源:Ruslan△Habalov
目前任职于Google的安全工程师Ruslan△Habalov本周四(5/31)在他的个人博客中披露,Chrome与Firefox于实现CSS混合模式(mix-blind-mode)功能时出现了旁路(side-channel)漏洞,将会泄露跨来源框架的视觉内容,所幸今年出炉的Chrome△63与Firefox△60都已修补了相关漏洞。
发现该漏洞的还有德国的渗透测试工程师Dario△Wei?er与另一位资安研究人员。
为了展示此一漏洞,研究人员造访了一个恶意网站,就能将脸书用户去匿名化,在完全不需要使用者的互动下取得该脸书用户的使用者名称、档案照片,以及所点赞的内容。
Habalov说明,在启用混合模式时,骇客可以利用DIV元素的堆叠来覆盖目标对象的浮动框架(iframe),浏览器渲染此一堆叠的时间会根据浮动框架内的像素颜色而有所不同,最后在浮动框架中移动该DIV堆叠,强迫重新渲染并测量个别的渲染时间,即有可能判断浮动框架的内容。
浏览器通常会借由同源政策(same-origin△policy)来避免所造访的网域存取另一个网域的内容,上述漏洞则允许骇客绕过同源政策。有鉴于该漏洞现身于在2016年随着CSS3出炉的混合模式功能,除了Chrome与Firefox之外,微软的IE与Edge并未支援该功能,而Safari则未受到该漏洞的影响。
Wei?er则向Ars△Technica透露,不论是CSS、HTML或JavaScript都有可处理图形的众多功能,他相信未来可能还会出现类似的问题。
相关:
图片来源: ZDI 趋势科技旗下的零时差倡议(Zero-Day△Initiative,ZDI)专案本周揭露微软Windows作业系统中的JScript元件含有一零时差漏洞,将允许骇客自远端执行任意程式。JScript与JavaScript是同样的程式语言,为
微软Visual△Studio团队服务专案经理Edward△ThomsonMay在DevOps博客提到,近日Git社交发现了Git存在一个可让骇客执行任意程式码的漏洞,他呼吁,开发者应尽速更新客户端应用程序,而微软也已经采取进一步防护,避免
Chrome 67来了! 弃用HPKP,支援WebAuthn与Generic Sensors API
示意图,与新闻事件无关。 图片来源: Google Google旗下浏览器Chrome△67于本周二(5/29)正式迈入稳定版,除了修补34个安全漏洞之外,根据Google先前的规画,Chrome△67将弃用HTTP公钥钉扎(HPKP),支援Web△Aut
站长之家5月21日消息随着平台的不断完善,微信越来越注重用户隐私安全的管理。最近,微信进一步升级外链管理规则,而严重违反规定的用户或许将会被永久封号。规定的主要内容是什么呢?据悉,5月18日微信发公告宣布对
文:连振祥王铭禹史学界一直认为,嘉峪关最终修筑完成是在明代,但是嘉峪关丝路(长城)文化研究院等单位最近从3份尘封的宫廷档案中发现,清朝乾隆年间曾对嘉峪关进行大修,而且改变了城楼的一些结构,最终才形成了现