Компания Microsoft предпочла не исправлять уязвимость в браузере Edge, влияющую на безопасность данных. По мнению экспертов, она может привести к утечке конфиденциальных данных.

Николай Грёдум (Nicolai Grødum), исследователь в Cisco Talos, поделился в корпоративном блоге подробностями об этой уязвимости, которая также затрагивает старые версии таких браузеров, как Google Chrome и Apple Safari, построенных на движке Webkit.

По его словам, злоумышленник может организовать утечку информации в Edge, добавив в header CSP ключевое слово unsafe-inline, которое разрешает выполнение inline-скрипта. После этого злоумышленник может воспользоваться методом window.open(), чтобы открыть новое окно, и вызвать функцию document.write. Таким образом, продолжает Грёдум, у злоумышленника появится возможность выполнить код в пустом окне и обойти CSP.

Стандарт Content Security Policy CSP представляет собой стандартную технику, добавляющую еще один уровень безопасности. Она должна противодействовать межсайтовому выполнению сценариев, кликджекингу и внедрению посторонних данных.

Страница about:blank в уязвимых браузерах имеет тот же источник, что и загрузившая ее страница, но на ней отсутствуют ограничения CSP. По мнению Грёдума, это оставляет возможность эксплуатации, если предположить, что злоумышленник смог как-то заманить пользователя на вредоносную веб-страницу.

Николай Грёдум описывает эту недоработку в Edge в корпоративном отчете об уязвимости:

«Создав новый документ методом window.open(«»,»_blank») и наполнив его при помощи функции document.write, злоумышленник, находясь на странице about:blank, может обойти ограничения CSP, наложенные на документ, где исполнялся исходный код JavaScript, и добраться до других сайтов».

Эта проблема актуальна в последней стабильной версии браузера Microsoft Edge 40.15063, выпущенной в апреле этого года. Разработчики браузера ответили компании Cisco, что политики CSP настроены в соответствии с их задумкой и что они не планируют исправлять проблему.

Компания Cisco впервые сообщила об этой проблеме в ноябре прошлого года. В марте компания Microsoft ответила, что не считает это уязвимостью. Вопрос оставался открытым до августа, после чего компания Cisco начала готовить публикацию своей находки.

Не такая уж и неожиданность, что компания Microsoft не торопится исправлять проблему. В январе они объявили о поддержке в Edge предыдущей версии стандарта, CSP2. Третья версия до сих пор находится в стадии черновика на рассмотрении Консорциума World Wide Web (W3C). Компания Microsoft заявила, что они добавят поддержку strict-dynamic из спецификации CSP3 в следующей версии Edge, но, скорее всего, полноценная поддержка будет организована только после утверждения окончательной версии стандарта.

Пользователи, которые долгое время не обновляли Chrome, iOS или Safari, тоже находятся в зоне риска. Специалисты Talos утверждают, что старые версии Chrome, до 57.0.2987.98, которая была выпущена в марте, и Safari до 10.1, также выпущенной в марте, тоже содержат уязвимость. Грёдум предупреждает, что версии iOS до мартовской версии 10.3 тоже уязвимы.

По данным Talos, браузер Firefox не содержит данной уязвимости, так как в нем при загрузке нового документа наследуются CSP исходного.

Это уже вторая за неделю уязвимость, которую компания Microsoft публично отказалась исправлять. Специалисты EnSilo в четверг предупредили о том, что присутствующие еще со времен Windows 2000 интерфейсы API могут использоваться злоумышленниками для обхода защитного ПО и установки вредоносных исполняемых файлов.

Компания Microsoft так прокомментировала это изданию Threatpost: «Наши специалисты рассмотрели предоставленную информацию и пришли к выводу, что описанное в ней не представляет собой угрозу безопасности, и мы не планируем включать исправление в обновления безопасности».

Категории: Кибероборона