Microsoft tog over tre måneder om at fixe Edge-bug der kunne lække dine e-mails

Illustration: Gecko Studio/Bigstock
Da en Google-medarbejder rapporterede en bug i Microsofts browser Edge, som kunne lække brugernes e-mails, gik der flere uger før Microsoft svarede, og først efter mere end tre måneder, kom der et fix.

Da developer advocate hos Google Jake Archibald opdagede en fejl i Edge og Firefox i den måde, browserne håndterer delvise forespørgsler til andre servere, rapporterede han den til både Microsoft og Mozilla. Det skriver han på sin blog.

Fejlen var specielt kritisk i Edge, hvor den tillod hjemmesider, at tilgå data fra andre hjemmesider, hvor brugeren var logget ind.

Langsom og mangelfuld kommunikation

Jake Archibald rapporterede fejlen til Edge’s bugtracker 1. marts, men fik dagen efter en e-mail fra Microsoft om, at sikkerhedsholdet ikke har adgang til bugtrackeren, så han måtte sende dem beskrivelsen af fejlen igen via almindelig e-mail.

Dagen efter bad de om kildekoden til hans demonstration af fejlen, som ellers kunne ses uden videre med browserens egen ”vis kildekode”-funktion.

Efter Jake Archibald havde sendt dem kildekoden, gik der 20 dage før han hørte fra Microsoft igen. Det skete først, da Jake Archibald begyndte at kontakte individuelle medlemmer fra Edge-holdet og bad dem om at undersøge sagen.

Gennem hele sagen, beskriver Jake Archibald, hvordan Microsoft ikke gav svar, medmindre han først henvendte sig direkte til individuelle udviklere.

Den 12. juni offentliggjorde Microsoft sikkerhedsopdateringen CVE-2018-8235 som løste fejlen i Edge.

API fik fejlagtigt adgang til data

Problemet Jake Archibald beskrev, opstod af den måde, browseren henter fra eksterne hjemmesider. Browseren kan lave en såkaldt no-cors-anmodning, som bliver sendt til den eksterne server med brugerens egne cookies for dem hjemmeside.

Fordi cookies bliver sendt med en no-cors-anmodning, kan den returnerede side indeholde følsomme data fra sider, brugeren er logget ind i. For eksempel kan svaret indeholde brugerens e-mails eller private Facebookside.

Derfor er svaret uigennemsigtigt for hjemmesiden. Browseren giver altså ikke hjemmesiden adgang til det returnerede data.

Men i visse tilfælde kunne det lade sig gøre at komme uden om denne begrænsning. I Edge demonstrerede Jake Archibald, hvordan han kunne køre svaret igennem Edge’s lyd-API, som giver hjemmesiden mulighed for at overvåge de data, der bliver afspillet.

Det betyder, at en hjemmeside potentielt kunne få adgang til disse data, og sende dem tilbage til serveren.

Hurtigt svar fra Mozilla

Betaudgaven af Firefox led af en mildere udgave af samme bug. I Firefox kunne angribere ikke få direkte adgang til dataene fra no-cors-anmodninger, men de kunne finde størrelsen på dataene, og aflede viden ud fra den information.

Mozilla svarede på Jake Archibalds henvendelse inden for tre timer, og fejlen nåede aldrig ud i en stabil udgave af Firefox.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Hans Nielsen

Tror mere det viser hvordan Microsoft med hensyn til udvikling er bleven en mastodont på betonben. Og måske også den dybere forklaring på, at Edge for størstedelen af bruger, kun bruges en gang. (,)Til at hente en anden Browser, via en Google og ikke BING søgning.

Man skulle tror at et verdens "rigeste" software producenter kunne lave et produkt, bare nogenlunde lige så godt, som noget mest er baseret på frivillige.

PS: Til sprog fascisterne, kan man lave 2 indskudte sætninger ? :-)

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder