圖片來源: 

Ruslan Habalov

目前任職於Google的安全工程師Ruslan Habalov本周四(5/31)在他的個人部落格中披露,Chrome與Firefox於實現CSS混合模式(mix-blind-mode)功能時出現了旁路(side-channel)漏洞,將會洩露跨來源框架的視覺內容,所幸今年出爐的Chrome 63與Firefox 60都已修補了相關漏洞。

發現該漏洞的還有德國的滲透測試工程師Dario Weißer與另一名資安研究人員。

為了展示此一漏洞,研究人員造訪了一個惡意網站,就能將臉書用戶去匿名化,在完全不需要使用者的互動下取得該臉書用戶的使用者名稱、檔案照片,以及所按讚的內容。

Habalov說明,在啟用混合模式時,駭客可以利用DIV元素的堆疊來覆蓋目標對象的浮動框架(iframe),瀏覽器渲染此一堆疊的時間會根據浮動框架內的像素顏色而有所不同,最後在浮動框架中移動該DIV堆疊,強迫重新渲染並測量個別的渲染時間,即有可能判斷浮動框架的內容。

瀏覽器通常會藉由同源政策(same-origin policy)來避免所造訪的網域存取另一個網域的內容,上述漏洞則允許駭客繞過同源政策。有鑑於該漏洞現身於在2016年隨著CSS3出爐的混合模式功能,除了Chrome與Firefox之外,微軟的IE與Edge並未支援該功能,而Safari則未受到該漏洞的影響。

Weißer則向Ars Technica透露,不論是CSS、HTML或JavaScript都有可處理圖形的眾多功能,他相信未來可能還會出現類似的問題。


Advertisement

更多 iThome相關內容