Koruma mekanizmasındaki kusurlar, web sitelerini DOM XSS tabanlı saldırılara daha fazla maruz bırakır
Güvenlik araştırmacıları, bazı senaryolarda yaygın olarak kullanılan bir web güvenlik mekanizması olan Güvenilir Türleri atlamak için birden çok korumasız özelliği ortaya çıkardı.
Güvenilir Türler web sitelerinin çeşitli DOM (Belge Nesne Modeli) özelliklerini işleme konusunda katı kurallar tanımlamasına olanak tanıyan önemli bir teknolojidir, DOM tabanlı saldırılara karşı korunmada yararlı bir tekniktir. siteler arası komut dosyası oluşturma (XSS) saldırır.
Tanınmış bir araştırmacı tarafından keşfedilen bir baypas Masato Kinugawa Güvenilen Türlerin normalde sunacağı korumayı atlamak için öznitelik özelliklerini kullanır.
Kinugawa, bir site bu özellikleri kullanacaksa ve DOM XSS’ye karşı savunmasızsa, Güvenilir Türlerin onu korumayacağını buldu. Bir site, mevcut bir öznitelik değerini şu şekilde değiştirirse: nodeValue / textContentaçıklandığı gibi bir Chrome güvenlik posta listesinde yayınlayınardından Güvenilir Türler atamayı tamamen yok sayar.
Tarayıcıyla ilgili en son güvenlik haberlerini ve analizlerini yakalayın
Güvenlik açığı, Chrome v100.0.4892.0 (Resmi Derleme) kanaryasında (64-bit) gösterilmiştir. Chrome’un diğer sürümleri ve diğer tarayıcılar savunmasız olabilir, ancak bu test edilmemiştir.
Chrome’un en son sürümleri sorunu giderir.
Güvenlik açığı – CVE-2022-1494 olarak izlendi ve şunları içerdiği söylendi:Güvenilir Türlerde yetersiz veri doğrulaması” – ilk olarak 16 Şubat’ta bildirildi, ancak ayrıntılar yalnızca geçen hafta kamuoyuna açıklandı.
Günlük Swig hem Kinugawa hem de Krzysztof Kotowicz, yorum için Güvenilir Türleri oluşturan Google yazılım mühendisi. Henüz geri dönüş yok, ancak daha fazla bilgi geldiğinde bu hikayeyi güncelleyeceğiz.
İLİŞKİLİ Google, Güvenilir Türlerle DOM XSS’nin yükselişini kontrol ediyor