Da developer advocate hos Google Jake Archibald opdagede en fejl i Edge og Firefox i den måde, browserne håndterer delvise forespørgsler til andre servere, rapporterede han den til både Microsoft og Mozilla. Det skriver han på sin blog.
Fejlen var specielt kritisk i Edge, hvor den tillod hjemmesider, at tilgå data fra andre hjemmesider, hvor brugeren var logget ind.
Langsom og mangelfuld kommunikation
Jake Archibald rapporterede fejlen til Edge’s bugtracker 1. marts, men fik dagen efter en e-mail fra Microsoft om, at sikkerhedsholdet ikke har adgang til bugtrackeren, så han måtte sende dem beskrivelsen af fejlen igen via almindelig e-mail.
Dagen efter bad de om kildekoden til hans demonstration af fejlen, som ellers kunne ses uden videre med browserens egen ”vis kildekode”-funktion.
Efter Jake Archibald havde sendt dem kildekoden, gik der 20 dage før han hørte fra Microsoft igen. Det skete først, da Jake Archibald begyndte at kontakte individuelle medlemmer fra Edge-holdet og bad dem om at undersøge sagen.
Gennem hele sagen, beskriver Jake Archibald, hvordan Microsoft ikke gav svar, medmindre han først henvendte sig direkte til individuelle udviklere.
Den 12. juni offentliggjorde Microsoft sikkerhedsopdateringen CVE-2018-8235 som løste fejlen i Edge.
API fik fejlagtigt adgang til data
Problemet Jake Archibald beskrev, opstod af den måde, browseren henter fra eksterne hjemmesider. Browseren kan lave en såkaldt no-cors-anmodning, som bliver sendt til den eksterne server med brugerens egne cookies for dem hjemmeside.
Fordi cookies bliver sendt med en no-cors-anmodning, kan den returnerede side indeholde følsomme data fra sider, brugeren er logget ind i. For eksempel kan svaret indeholde brugerens e-mails eller private Facebookside.
Derfor er svaret uigennemsigtigt for hjemmesiden. Browseren giver altså ikke hjemmesiden adgang til det returnerede data.
Men i visse tilfælde kunne det lade sig gøre at komme uden om denne begrænsning. I Edge demonstrerede Jake Archibald, hvordan han kunne køre svaret igennem Edge’s lyd-API, som giver hjemmesiden mulighed for at overvåge de data, der bliver afspillet.
Det betyder, at en hjemmeside potentielt kunne få adgang til disse data, og sende dem tilbage til serveren.
Hurtigt svar fra Mozilla
Betaudgaven af Firefox led af en mildere udgave af samme bug. I Firefox kunne angribere ikke få direkte adgang til dataene fra no-cors-anmodninger, men de kunne finde størrelsen på dataene, og aflede viden ud fra den information.
Mozilla svarede på Jake Archibalds henvendelse inden for tre timer, og fejlen nåede aldrig ud i en stabil udgave af Firefox.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
