Баг в Microsoft Edge раскроет ваши письма вредоносному сайту

Олег Иванов 21 Июня 2018 - 09:18

Домашние пользователи

...

Стало известно о крайне серьезной ошибке в Edge, благодаря которой вредоносные сайты могут получать контент с других сайтов путем воспроизведения аудиофайлов определенным образом. По словам экспертов, такая злонамеренная техника может привести к серьезным утечкам.

Проблему обнаружил эксперт Google Джейк Арчибальд. Он комментирует баг следующим образом:

«Это очень серьезная ошибка. На деле это значит, что вы, посетив мой сайт (который является proof-of-concept), раскроете мне ваши электронные письма, ленту Facebook. И все это произойдет без вашего ведома».

Ошибка возникает в момент, когда вредоносный сайт использует технологию Service Workers для загрузки с удаленного сайта мультимедийного контента внутри тега <audio>, параллельно используется параметр «range» для загрузки только определенного раздела этого файла.

Арчибальд объясняет, что из-за несогласованности в том, как браузеры обрабатывают файлы, загруженные с помощью Service Workers внутри тегов audio, можно загружать любой контент на вредоносном сайте.

При нормальных обстоятельствах такое было бы невозможно осуществить из-за CORS (Cross-Origin Resource Sharing) — защитной функции браузера, которая запрещает сайтам загружать ресурсы с других сайтов.

Но в этом случае сайт злоумышленника может отправлять запросы «no-cors», которые получающие сайты (среди них Facebook, Gmail и BBC) примут без проблем. Это позволит атакующему загрузить контент, который ни при каких других обстоятельствах не загрузился бы на случайных доменах.

Уязвимость получила имя Wavethrough (CVE-2018-8235), она затрагивает Edge и Firefox — на Chrome и Safari не влияет.

Хорошая новость заключается в том, что на момент написания материала эта брешь закрыта.

Арчибальд опубликовал proof-of-concept в виде сайта также моно ознакомиться с видео, подтверждающим наличие бага:

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 28 Апреля 2026 - 10:05

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Наталья Касперская

Касперская объяснила, почему борьба с VPN только раззадорит разработчиков

Наталья Касперская, сооснователь «Лаборатории Касперского» и президент ГК InfoWatch, раскритиковала попытки ограничивать VPN и сетевой трафик в России. По её словам, такие меры не только малоэффективны, но и могут ухудшать работу интернета в целом.

Главный аргумент — поведение самих разработчиков. Это технически подкованные пользователи, которые не будут обращаться за разрешениями или ждать инструкций, а просто найдут способ обойти ограничения.

Касперская привела в своём телеграм-канале показательный пример: в одной из её компаний Роскомнадзор по ошибке заблокировал публичный сервис. На восстановление доступа у сотрудников ушло около 20 минут — они просто настроили обход через VPN.

По её словам, именно так ситуация и будет развиваться: разработчики не станут регистрировать свои VPN или пытаться попасть в «белые списки», а будут поднимать собственные решения. В стране таких специалистов около миллиона, и у многих из них есть «спортивный интерес» обходить ограничения.

Отдельная проблема — работа с зарубежными сервисами. Многие из них ограничивают доступ с российских IP-адресов, включая популярные ИИ-модели. Поэтому разработчики и так вынуждены использовать VPN, причём часто не корпоративные, а собственные.

Касперская также отмечает, что полностью заблокировать VPN технически невозможно. Такие технологии используются уже десятки лет и тесно переплетены с базовыми интернет-протоколами. Попытки их фильтрации через DPI могут приводить к сбоям и ложным срабатываниям — например, затрагивать обычный HTTPS-трафик.

Кроме того, доступ к «разрешённым» VPN сейчас есть лишь у небольшой части компаний. По словам Касперской, речь идёт примерно о 1,5 тыс. организаций при общем количестве в несколько миллионов.

В итоге ограничения, по её мнению, бьют не только по обходу блокировок, но и по обычным пользователям; в том числе тем, кто находится за границей и сталкивается с проблемами доступа к российским сервисам.

В более широком смысле Касперская считает, что такие вопросы нельзя решить только техническими методами. Ограничение доступа к контенту и платформам — это социальная и политическая задача. И попытки «закрыть всё технологиями» часто приводят к обратному эффекту: пользователи просто находят новые способы обхода.

Ранее в этом месяце Наталья Касперская извинилась перед Роскомнадзором за свой пост о причинах масштабного сбоя, который 3 апреля затронул банковские сервисы и СБП.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!