令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪

  • 时间:2018-06-02 15:20 作者:在我的瞳孔里照见你 来源:在我的瞳孔里照见你 阅读:599
  • 扫一扫,手机访问
摘要:来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,可以够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Wei?er 和另外一名安全研究人员。该漏洞归因于 2016

来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,可以够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Wei?er 和另外一名安全研究人员。

该漏洞归因于 2016 年 CSS3 Web 标准中引入的名为 “mix-blend-mode” 的特性,允许 Web 开发人员将 Web 组件叠加在一起,并增加控制其交互方式的效果。为展现此漏洞,研究人员造访了一个恶意网站,发现能利使用跨域 iframe 获取使用户的 Facebook 资料,包括照片和使用户名等信息,整个过程不需要与使用户有额外的互动。

令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪


令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪


Habalov 在文中解释称,在启使用 “mix-blend-mode” 时,攻击者能利使用 DIV 元素的层叠来覆盖目标对象的浮动框架(iframe),浏览器渲染此一层叠的时间会根据浮动框架内的像素颜色而有所不同,最后在浮动框架中移动该 DIV 层叠,强迫重新渲染并测量个别的渲染时间,即有可可以算出浮动框架的内容。经过测试,大概 20 秒左右就可以拿到使用户的 ID ,5 分钟左右就可以拿到模糊的个人资料和图片。

令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪


令人惊叹的CSS漏洞攻击 Firefox 和 Chrome 中枪


据悉,受影响的浏览器主要是 Firefox 和 Chrome,Internet Explorer 和 Microsoft Edge 不受影响是由于它们不支持 mix-blend-mode,Safari 因为采使用的是矢量化的实现方式也不受影响。

Habalov 在验证漏洞后,于去年向浏览器开发商和 Facebook 报告了该漏洞,Facebook 的最终回复是对此无可以为力,Google 和 Mozilla 在 Chrome v63.0 和 Firefox Quantum v 60.0 中修复了该漏洞。

  • 全部评论(0)
最新发布的资讯信息
【系统环境|windows】字节跳动前台面试题解析:盛最多水的容器(2021-03-20 21:27)
【系统环境|windows】DevOps敏捷60问,肯定有你想理解的问题(2021-03-20 21:27)
【系统环境|windows】字节跳动最爱考的前台面试题:JavaScript 基础(2021-03-20 21:27)
【系统环境|windows】JavaScript 的 switch 条件语句(2021-03-20 21:27)
【系统环境|windows】解决 XML 数据应用实践(2021-03-20 21:26)
【系统环境|windows】20个编写现代CSS代码的建议(2021-03-20 21:26)
【系统环境|windows】《vue 3.0探险记》- 运行报错:Error:To install them, you can run: npm install --save core-js/modules/es.arra...(2021-03-20 21:24)
【系统环境|windows】浅谈前台可视化编辑器的实现(2021-03-20 21:24)
【系统环境|windows】产品经理入门迁移学习指南(2021-03-20 21:23)
【系统环境|windows】初识webRTC(2021-03-20 21:23)
血鸟云
手机二维码手机访问领取大礼包
返回顶部