Çerez değişikliğine ve veri hırsızlığına kapı açan kusur çözüldü
Chromium projesindeki bir hata, saldırganların bir dizi kötü amaçlı etkinlik gerçekleştirmek için iFrame’ler ve açılır pencereler aracılığıyla site izolasyon korumasını atlamasına izin verdi.
Güvenlik açığı, özel bilgilerin çalınması, çerezlerin okunması ve değiştirilmesi ve mikrofon ve kamera yayınlarına erişim dahil olmak üzere bir dizi istismara kapı açıyor.
Yakın zamanda yamalanan güvenlik açığı, tarayıcının önceki bir sürümünde yapılan bir kod değişikliğinden kaynaklandı.
Site izolasyonu baypas
Site izolasyonu, bir tarayıcıdaki farklı web sitelerinin birbirlerinin verilerine erişmesini önlemek için her kaynağın oluşturucusunu farklı bir işleme sokan bir güvenlik özelliğidir. Teknoloji aynı zamanda tarayıcının her bir oluşturucuya “süreç kilitleri” adını verdiği belirli bir kaynak atamasına izin verir.
Kaynak tarafından talep edilen hassas eylemlere izin verilmeden önce işlem kilitleri kontrol edilir. Bir oluşturucu başka bir kaynak gibi davranırsa, tarayıcı işlem kilidinin eşleşmediğini fark eder ve erişimi engeller.
Hatayı keşfeden güvenlik araştırmacısı Alesandro Ortiz, “Her iki teknik bir arada, bellekten ödün verilmiş oluşturucuların veya hatam gibi mantık hatalarının başka bir kaynakla ilgili olarak okuma, değiştirme veya hassas eylemleri gerçekleştirmesini engeller” dedi. Günlük Swig.
“Site izolasyonunu zorlamak için kullanılan başka kontroller de var, ancak bunlar süreç kilitlerinden daha az sağlam. Bu hata, daha az sağlam olan bu kontrolleri atlar.”
Tarayıcıyla ilgili en son güvenlik haberlerini yakalayın
Ortiz’in bulgularına göre, gömülü bir iFrame, yeni pencere için ilk gezinme girişini tutan özel hazırlanmış bir URL ile açılır pencere veya yeni bir sekme gibi yeni bir pencere açarsa güvenlik açığı tetikleniyor. Daha sonra üst pencerenin verilerine erişebilir.
Ortiz, “İlk gezinme girişinin, açıcının kökenini devralması gerekiyor, ancak hata, gezinme girişinin en üstteki sayfanın kökenini devralmasına neden oluyor” dedi.
Geniş bir saldırı yelpazesi
Ortiz, “Hatayı tetiklemenin yalnızca birkaç yolu var, ancak onu kullanmanın çok çeşitli yolları var” dedi. Özünde, süreç kilitleri tarafından korunmayan her şey güvenlik açığı yoluyla kullanılabilir.
Ortiz, raporunda bu istismarlardan bazılarını detaylandırıyor.
Örneğin, e-ticaret web sitelerinde, sohbet uygulamalarında ve sosyal ağlarda bir saldırgan çerezleri okuyabilir, IndexedDB hesap erişimi için kimlik doğrulama bilgileri de dahil olmak üzere hassas veriler içerebilen CacheStorage verileri. Web sitesine cihazın mikrofonuna veya kamerasına erişim izni verildiği durumlarda, saldırgan kurbanın konuşmalarını veya görünür etkinliğini sessizce kaydedebilecektir.
Potansiyel bir saldırgan aynı zamanda web sitesinden mesaj alabilecektir. mesaj mesajıWebSockets, BroadcastKanalve Paylaşılan İşçiler Kimlik doğrulama bilgileri de dahil olmak üzere hassas veriler içerebilen iletişim API’leri.
iFrame korumalı alanı, “izin verilen komut dosyaları” ve “açılır pencereler” bulunmamaktadır. Bazı durumlarda, saldırı “izin-aynı-menşeli” etkinleştirilmelidir.
“Ne yazık ki, ‘izin verilen komut dosyaları‘ ve ‘izin-aynı-menşeli‘ oldukça yaygın ve ‘açılır pencereler‘ birçok durumda da mevcuttur, “dedi Ortiz.
Bu, bir site izolasyon atlama hatasının keşfedildiği ilk sefer değil. Bununla birlikte, en son site izolasyon atlamalarının çoğu, tek bir özelliği veya küçük bir özellik alt kümesini etkilerken, en son güvenlik açığının etkileri daha geniş kapsamlıdır.
Ortiz, “Bu hata, site izolasyonunu zorlamak için birçok önemli özellik tarafından kullanılan birkaç farklı değeri yanıltması nedeniyle olağandışıdır, bu nedenle çok daha geniş bir etkiye sahiptir.” Dedi. “Genellikle bu değerlerden yalnızca birinin yanıltılması, işlem kilidi kontrollerini veya diğer site izolasyon kontrollerini tetikler.”
tavşan deliğinden aşağı inmek
2020’de Ortiz, Android WebView’da (Chrome’un bir parçası) bir Evrensel Siteler Arası Komut Dosyası Çalıştırma (XSS) hatası olan CVE-2020-6506’yı keşfetti. Bu hata için kavram kanıtı (PoC) aramayı içeriyordu pencere.open() Birlikte javascript: URL.
PoC, etkiyi göstermenin bir yolu olarak bir JavaScript iletişim kutusu kullandı. Bu PoC ve başka bir araştırmacıdan gelen bir ipucu, Ortiz’in yeni hatayı bulmasına yardımcı oldu.
“Açık 30 Mart 2022, bir araştırmacı, Chrome’da CVE-2020-6506’nın PoC’sini denerken olası beklenmeyen davranışlar hakkında bana bir Twitter DM gönderdi,” dedi Ortiz. “İlk ayrıntılar belirsizdi ve bu CVE ile ilgili beklenen ve gözlemlenen davranış konusunda kafam karışan araştırmacılardan sık sık sosyal yardım alıyorum, ancak her makul ipucunu kovalamaya çalışıyorum.”
Biraz araştırmadan sonra Ortiz, JavaScript iletişim kutusunun yanlış kaynağı gösterdiğini fark etti, bu da olası bir güvenlik gecikmesinin açıklayıcı bir işaretiydi.
Ortiz, “Bu noktada, burada muhtemelen ilginç bir güvenlik sorunu olduğunu fark ettim, bu yüzden araştırmaya devam ettim” dedi.
Ortiz, ilk Chromium güvenlik raporunu yalnızca JavaScript iletişim kutusunun etkisini bilerek gönderdi, çünkü bu zaten bir güvenlik açığıydı.
“Araştırmaya devam ettim ve hızlı bir şekilde başka etkiler olduğunu tespit ettim. Tam soruşturma biraz zaman aldı, ancak ilk raporu gönderdikten sonraki birkaç saat içinde bunun daha geniş etkili bir hata olduğunu anladım” dedi.
Tam hata raporu, yol boyunca yeni istismarlar bulurken, araştırmacı ve satıcı arasında gidip gelen ilginç bir çalışmadır.
Kötü kodlama
Ortiz’in bulgularına ve Chromium’un hata izleyicisindeki tartışma başlığına göre, tarayıcıda yeni pencereler açma işlevlerinin ardındaki mantığın yanlış anlaşılması, Chromium sürüm 98’deki taahhütlerden birinde site izolasyon atlamasını başlattı. yaklaşık dört ay ve kararlı sürümde keşfedilmeden önce yaklaşık iki ay.
Ortiz, “Büyük tarayıcılar gibi güvenli yazılımlarda bile her zaman ilginç hatalar vardır” dedi. “En iyi programcılar bile yanlışlıkla hata yapar. Taahhüt eden yazarla aynı koşullar göz önüne alındığında muhtemelen aynı hatayı yapardım. ”
“Zaman içindeki farklı değişiklikler ve bağlam eksikliği, genellikle bazen güvenlikle ilgili sonuçları olan hatalar için bir reçetedir. Chromium ekibi adına konuşamam ama kişisel olarak burada tek bir başarısızlık noktası olduğunu düşünmüyorum,” diyerek sözlerini tamamladı Ortiz.
Ortiz, Google Güvenlik Açığı Ödül Programı (VRP) paneli tarafından 20.000 ABD Doları tutarında hata ödülü aldı ve bunun 4.000 ABD Dolarını ortak çalışan bir araştırmacıya verdi.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Sarkan işaretleme enjeksiyonuna karşı savunmasız Chromium tarayıcılar