利用 Chrome bug 通过音频或视频 HTML 标签窃取 web 秘密

翻译：360代码卫士团队

谷歌修复了 Chrome 浏览器中可导致攻击者通过音频或视频 HTML 标签从其它站点检索敏感信息的漏洞。

Imperva 公司的安全研究员 Ron Masas 发现并向谷歌报告了这个漏洞 (CVE-2018-6177)。谷歌在7月末发布 Chrome v68.0.3440.75 修复该问题。

如果攻击者能通过恶意广告或利用合法站点上的漏洞注入并执行代码的方式诱骗受害者访问恶意站点，那么该漏洞就能在老旧版本的 Chrome 中遭利用。

Masas 发布 write-up 指出，攻击场景需要恶意代码加载来自音频和视频 HTML 标签内合法站点的内容。他指出，通过使用 “progress” 事件，能够推断出从外部站点获得的响应规模，并猜测出多种类型的信息。在正常情况下，这种情况不可能发生，因为浏览器安全功能 CORS（跨源资源共享）能够阻止站点从其它站点加载资源，但这种攻击能绕过 CORS。Masas 表示，“从根本上来讲，这个漏洞可导致攻击者使用视频或音频标记来估计跨源资源的大小”。

在测试中，Masas 能够通过激活 Facebook 的公开帖子上“受众限制”的设置判断用户可能的年龄组和性别。他指出，通过操纵 Facebook 等站点以大型或小型响应的形式反映用户数据，这样就可能持续提取有价值数据。

但专门研究 web 安全问题的研究员 Mike Gualtieri 表示，这种攻击的利用方式要比收集 Facebook 用户数据更具创新性。例如针对企业后端、内联网和其它以企业为中心的应用程序发动攻击。

Gualtieri 表示，“企业 IT 定制的现成系统可能是这种攻击的最佳目标，因为攻击者可以学习系统内部并可能影响系统的所有用户。”他指出，在通常情况下，从登录用户来看，这些系统更加同质化，攻击者可能针对存储在企业 web 应用程序特定区域中的敏感数据发动攻击。

此外，Gualtieri 认为攻击可能适用于攻击者在正常情况下无法访问的 API，但这个 bug 允许攻击者中继请求。Gualtieri 表示，目前能找到保护不力的 web-API 的通信数据是可行的。足够勤奋的攻击者可以通过登录用户计算出一组预期请求并针对这些 API 响应。例如，假如某股票交易公司的 API 端点遭暴露，那么它返回的内容如下：

如果用户已登录，请求可能是：

Gualtieri 表示，因此可基于所购股票进行推断。虽然这个例子听起来不太现实，但见过很多设计不良或暴露API 的情况和这个假设的案例很类似。

如果说 Masas 的攻击看似熟悉，可能是因为和三月份披露的一个影响 Edge 和火狐漏洞 Wavethrough (CVE-2018-8235) 类似。

和 Masas 发现的 Chrome bug 不同，Wavethrough 使用音频和视频标记绕过 CORS 保护措施，从其它站点加载数据并判断其内容。不过类似之处也就到此为止。

Masas 表示，Wavethrough 漏洞使用服务工作者和 ‘range’ 请求提取原始数据。从另一方面来讲，从元素中发出的‘progress’事件估算跨来源资源大小并使用这种信息通过利用 Facebook 等站点上的限制过滤器过滤关于用户的更多信息。

发现 Wavethrough 漏洞的谷歌研究员 Jake Archibald 指出，这两种攻击大不相同，即使攻击是通过音频和视频 HTML 标记执行的也不例外。这个 Chrome bug 更多的是一种定时攻击而 Wavethrough 攻击并非如此。Wavethrough 是对来源模型的违规。二者的不同之处在于，Wavethrough 检索的是破解 CORS 之后找到的数据，而 Masas 缺陷不断以一系列请求探测其它站点以猜测数据内容。

虽然 Chrome bug 看似难以遭利用，但并非如此。

Gualtieri 表示，攻击并不复杂，只需要做一些准备工作即可。这种不断猜测的游戏并不意味着 Chrome bug 仅受限于一个用户。他指出，根据目标站点而言，这种猜测游戏可能用于针对多名用户。因此，除非用户不想暴露 web 秘密，那么建议将 Chrome 更新至 v68.0.3440.75 或之后版本。

原文链接

https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。