Microsoft tog over tre måneder om at fixe Edge-bug der kunne lække dine e-mails

22. juni 2018 kl. 07:523
Microsoft tog over tre måneder om at fixe Edge-bug der kunne lække dine e-mails
Illustration: Gecko Studio/Bigstock.
Da en Google-medarbejder rapporterede en bug i Microsofts browser Edge, som kunne lække brugernes e-mails, gik der flere uger før Microsoft svarede, og først efter mere end tre måneder, kom der et fix.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da developer advocate hos Google Jake Archibald opdagede en fejl i Edge og Firefox i den måde, browserne håndterer delvise forespørgsler til andre servere, rapporterede han den til både Microsoft og Mozilla. Det skriver han på sin blog.

Fejlen var specielt kritisk i Edge, hvor den tillod hjemmesider, at tilgå data fra andre hjemmesider, hvor brugeren var logget ind.

Langsom og mangelfuld kommunikation

Jake Archibald rapporterede fejlen til Edge’s bugtracker 1. marts, men fik dagen efter en e-mail fra Microsoft om, at sikkerhedsholdet ikke har adgang til bugtrackeren, så han måtte sende dem beskrivelsen af fejlen igen via almindelig e-mail.

Dagen efter bad de om kildekoden til hans demonstration af fejlen, som ellers kunne ses uden videre med browserens egen ”vis kildekode”-funktion.

Artiklen fortsætter efter annoncen

Efter Jake Archibald havde sendt dem kildekoden, gik der 20 dage før han hørte fra Microsoft igen. Det skete først, da Jake Archibald begyndte at kontakte individuelle medlemmer fra Edge-holdet og bad dem om at undersøge sagen.

Gennem hele sagen, beskriver Jake Archibald, hvordan Microsoft ikke gav svar, medmindre han først henvendte sig direkte til individuelle udviklere.

Den 12. juni offentliggjorde Microsoft sikkerhedsopdateringen CVE-2018-8235 som løste fejlen i Edge.

API fik fejlagtigt adgang til data

Problemet Jake Archibald beskrev, opstod af den måde, browseren henter fra eksterne hjemmesider. Browseren kan lave en såkaldt no-cors-anmodning, som bliver sendt til den eksterne server med brugerens egne cookies for dem hjemmeside.

Artiklen fortsætter efter annoncen

Fordi cookies bliver sendt med en no-cors-anmodning, kan den returnerede side indeholde følsomme data fra sider, brugeren er logget ind i. For eksempel kan svaret indeholde brugerens e-mails eller private Facebookside.

Derfor er svaret uigennemsigtigt for hjemmesiden. Browseren giver altså ikke hjemmesiden adgang til det returnerede data.

Men i visse tilfælde kunne det lade sig gøre at komme uden om denne begrænsning. I Edge demonstrerede Jake Archibald, hvordan han kunne køre svaret igennem Edge’s lyd-API, som giver hjemmesiden mulighed for at overvåge de data, der bliver afspillet.

Det betyder, at en hjemmeside potentielt kunne få adgang til disse data, og sende dem tilbage til serveren.

Hurtigt svar fra Mozilla

Betaudgaven af Firefox led af en mildere udgave af samme bug. I Firefox kunne angribere ikke få direkte adgang til dataene fra no-cors-anmodninger, men de kunne finde størrelsen på dataene, og aflede viden ud fra den information.

Artiklen fortsætter efter annoncen

Mozilla svarede på Jake Archibalds henvendelse inden for tre timer, og fejlen nåede aldrig ud i en stabil udgave af Firefox.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
22. juni 2018 kl. 14:17

Indskudte sætninger i flere lag er en af de ting, som alle, der mestrer det sprog, vi taler, og dets grammatik, kan benytte sig af.

Men der er ikke dobbelt indskudte sætninger i din kommentar, til trods for dine mange (forkerte) kommaer.

1
22. juni 2018 kl. 11:27

Tror mere det viser hvordan Microsoft med hensyn til udvikling er bleven en mastodont på betonben. Og måske også den dybere forklaring på, at Edge for størstedelen af bruger, kun bruges en gang. (,)Til at hente en anden Browser, via en Google og ikke BING søgning.

Man skulle tror at et verdens "rigeste" software producenter kunne lave et produkt, bare nogenlunde lige så godt, som noget mest er baseret på frivillige.

PS: Til sprog fascisterne, kan man lave 2 indskudte sætninger ? :-)