原标题：Chrome处理影音串流资讯漏洞可被用来开采使用者脸书隐私，研究人员呼吁应尽速更新

论及使用者上网，Chrome应该是最多人使用的浏览器了，然而，最近Imperva研究人员Ron△Masas揭露，这款浏览器采用的Blink引擎，对于 video△和 audio△等HTML语法标签的处理过程有瑕疵，导致有心人士能从中窃取使用者的隐私资料，他不只将这样的情况回报给Google，也呼吁该浏览器的使用者要赶快更新，采用已经完成修补的68版。

Ron指出，他发现这个Chrome的漏洞，出现在对于解译 video△和 audio△等HTML语法标签时，浏览器向来源串流影音发出请求的滥用。一般来说，为了确保播放事件的正常执行，浏览器便会跟来源站台要求影音资料的确切资料量。而根据Imperva团队的研究结果，他们发现利用上述浏览器请求资讯机制，辅以借由滥用社交网站常见的过滤功能，可利用一连串的是非问答探测，间接得知使用者的隐私。

该名研究人员举例，攻击者可先针对各个锁定的目标年龄族群，制作含有大量内容的脸书贴文，并设定读者身份限制，就能从脸书发出请求，然后通过浏览器回应的资料量大小，取得执行浏览器的使用者年龄。这样的手法，也能套用在取得使用者的性别、点赞的项目，以及许多其他使用者的属性。

根据Imperva的研究员Ron△Masas发现，有了Chrome处理影音语法标签的弱点，可使有心人士利用如图中的脸书锁定读者机制，进而开采大量执行Chrome浏览器使用者的性别或是年龄，即使他们已经在脸书将这些资料设定为不公开，照样会被开采。

其中，容量较大的浏览器回应资料，便能指出不符合攻击者原先设下的读者属性限制，反之，则是贴文锁定的目标使用者。这意味着，就算浏览器的使用者在脸书上，不公开他们的年龄或是性别，骇客只要在恶意网站中，埋藏利用含有上述方法的脚本，并分别采取了多种使用者属性设定，便能迅速开采大量Chrome浏览器使用者的隐私。

开采浏览器使用者隐私的途径涵盖社交平台、电子商务平台，以及云端服务

Ron更进一步表示，不光像是脸书这种社交平台，这样的攻击手法，同样也能运用在使用者需通过电子邮件注册的网站，包含许多电子商务或是线上应用网站。

这名研究员会发现这样的问题，主要还是在他针对多种HTML语法标签，研究网页内容的跨来源共用机制（Cross-Origin△Resource△Sharing，CORS），其实际的运作原理。在研究的过程中，他留意到 video△和 audio△的执行行为中，会将metadata的参数设定成preload，借此改变onprogress事件的次数。而onprogress便是与前述浏览器请求资源大小的过程里，会被呼叫的事件参数。

Ron研究各种HTML标签网页内容跨来源共用机制（Cross-Origin△Resource△Sharing，CORS）时，留意到Chrome浏览器对 video△与 audio△语法处理的情形，从他发现的现象中，为了验证所提出可能会被滥用的推论是否成立，Ron写了如图中内容的脚本，实验后也如预期证实，能以此暗中开采浏览器使用者的资料。

由于现今网页上所载入的许多元素，像是CSS样式表、图片、指令码，往往都来自网页位址以外的网域，为了增加这些内容存取的安全性，网站必须使用CORS机制，浏览器才会正确读取这些元素，然而Chrome对于这样的存取机制解译过程中，会造成使用者资料的泄露，因此Ron在今年3月时向Google回报，Google则于最近的Chrome△68版处理上述弱点，并发给这名研究员500元美元奖金。

以Chromium开发的浏览器软件，使用者也要记得更新

不过，一般来说，Chrome会自己下载并维持最新版本的软件，因此前述的弱点虽然已被登记为CVE-2018-6177，并加以列管，而且Google也已经修补，然而在CVE的资料库中，却没有相关的描述，而页面上提供的美国国家弱点资料库连结，也没有该弱点的资料。此外，Redhat的CVE资料库中，则明确指出这个弱点带来的影响性不高。

但值得注意的是，由于这项弱点涉及Blink浏览器引擎，若是使用者执行其他由Chromium开发的浏览器软件，采用了较旧的Blink版本，便可能面临这种隐私资料暴露的风险。

iThome△Security

tags：

上一篇  下一篇

相关：

Chrome漏洞可能外泄使用者隐私资料

图片来源: Imperva 资安业者Imperva本周揭露一个存在于Chrome浏览器Blink引擎中的“跨域资讯外泄”（Cross△Origin△Information△Leak）漏洞，将允许骇客汲取Chrome用户存放在脸书、Google或其它平台上的个人资料，

开源电子健康纪录系统OpenEMR爆数个严重漏洞，病患隐私与系统安全拉警报

支援全球2亿人病历的开源电子健康纪录系统OpenEMR，遭Project△Insecurity揭露存在多个严重等级高的安全性漏洞，从身份验证旁路、SQL资料隐码、远端程式码执行以及任意档案操作等漏洞都有，OpenEMR社交已积极处理漏洞

DepShield可自动化监控相关开源专案程式码漏洞

开源DevOps服务供应商Sonatype发表DepShield，这是一个针对GitHub的应用程序，能自动识别开源相依专案程式码中的漏洞，提醒开发人员需要修补的部分，提高企业对于开源治理的能力。Sonatype提到，根据他们针对DevSecO

L1TF漏洞攻击手法让云端服务商动起来，DigitalOcean也提出因应之道

近日Intel发布了L1终端故障（L1 Terminal△Fault，L1TF）漏洞后，公有云厂商陆续也启动修补工作，避免影响企业用户。像是Google公有云运算服务，就采用主机隔离功能，确保各虚拟机不会共用作业系统核心，同时也开始监

微软ADFS含有可绕过多因素认证的安全漏洞

图片来源: Okta 身份管理服务供应商Okta的安全工程师Andrew△Lee日前揭露，微软的Active△Directory同盟服务（Active△Directory△Federated△Services，ADFS）在处理多因素身份认证（Multi-Factor△Authentication，