Google устранила уязвимость в Chrome, существовавшую 23 года
Баку, 14 апреля, АЗЕРТАДЖ
Корпорация Google закроет в браузере Chrome потенциальную уязвимость, в той или иной степени актуальную для всех существующих веб-обозревателей, выпущенных за последние 23 года.
Как сообщает АЗЕРТАДЖ со ссылкой на Bleeping Computer, Google закрыла уязвимость в веб-обозревателе Chrome, которая могла раскрывать историю посещенных пользователем сайтов. Уязвимость, или «особенность», которая, как ожидается, будет устранена с выходом Chrome версии 136, позволяет владельцу веб-сайта сформировать представление о страницах в сети, на которых побывал пользователь-посетитель, не имея прямого доступа к истории браузера. Возможность раскрытия такой информации является угрозой конфиденциальности.
В современных браузерах предусмотрена возможность настройки параметров визуального оформления ссылок, ведущих на ранее посещенные пользователем адреса в интернете. Веб-дизайнер имеет возможность задавать такие параметры при помощи каскадных таблиц стилей (CSS) и псевдокласса “:visited”.
Чтобы отобразить ссылки, которые пользователь посещал ранее (они помечаются фиолетовым цветом), браузер должен отслеживать эти страницы с помощью каскадных таблиц стилей через селектор :visited. Как объяснили в Google, суть ошибки заключалась в том, что информация о том, какие ссылки пользователь уже посещал, сохранялась без разделения конфиденциальности между посещаемыми сайтами. То есть любой сайт мог определить, была ли ранее нажата определенная ссылка, даже если она отображалась на совершенно другом ресурсе.
«Вы просматриваете сайт A и кликаете по ссылке на сайт B. Позже вы заходите на условно вредоносный сайт C, который тоже содержит ссылку на сайт B. Он может узнать, что вы уже были на сайте B, просто определив ссылку по цвету», — пояснили в Google.
В компании назвали это фундаментальной ошибкой дизайна браузера и подчеркнули, что она могла применяться для отслеживания активности пользователей в интернете. Уязвимость затрагивала не только Chrome, но и другие браузеры — в частности, Safari, Opera, Internet Explorer и Firefox, сообщает PCMag.
Впервые на проблему обратил внимание исследователь безопасности Эндрю Кловер (Andrew Clover) еще в 2002 году. Он визуально продемонстрировал все этапы возможной атаки, опираясь на исследовательскую статью Принстонского университета Timing Attacks on Web Privacy.
Исправление уже включено в бета-версию обновления Chrome 136. Теперь информация о посещенных ссылках будет храниться отдельно для каждого сайта и не будет передаваться между ресурсами.
Другие новости раздела
