利用 CSS 特性的边信道攻击

安全研究人员在浏览器实现的 CSS 特性“mix-blend-mode” 中发现了一个边信道漏洞，能通过跨域 iframe 泄漏视觉内容。攻击者可以利用该漏洞诱骗用户访问一个恶意网站，然后利用跨域 iframe 获取用户的 Facebook 资料，包括照片和用户名等信息，整个过程不需要与用户有额外的互动。受影响的浏览器主要是 Firefox 和 Chrome，Internet Explorer 和 Microsoft Edge 不受影响是因为它们不支持 mix-blend-mode，苹果 Safari 也不受影响。研究人员已经向浏览器开发商和 Facebook 报告了该漏洞，Chrome v63.0 和 Firefox Quantum v 60.0 分别修复了该漏洞。Facebook 回应称他们这边对此无能为力。修复方法是矢量化 mix-blend-mode，Safari 之所以不受影响是因为它采用的就是矢量化的实现方式。