adv

利用 CSS 特性的边信道攻击

安全
pigsrollaroundinthem (39396)发表于 2018年06月01日 13时39分 星期五
来自逐行扫描部门
安全研究人员在浏览器实现的 CSS 特性“mix-blend-mode” 中发现了一个边信道漏洞,能通过跨域 iframe 泄漏视觉内容。攻击者可以利用该漏洞诱骗用户访问一个恶意网站,然后利用跨域 iframe 获取用户的 Facebook 资料,包括照片和用户名等信息,整个过程不需要与用户有额外的互动。受影响的浏览器主要是 Firefox 和 Chrome,Internet Explorer 和 Microsoft Edge 不受影响是因为它们不支持 mix-blend-mode,苹果 Safari 也不受影响。研究人员已经向浏览器开发商和 Facebook 报告了该漏洞,Chrome v63.0 和 Firefox Quantum v 60.0 分别修复了该漏洞。Facebook 回应称他们这边对此无能为力。修复方法是矢量化 mix-blend-mode,Safari 之所以不受影响是因为它采用的就是矢量化的实现方式。

显示选项 样式:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。