เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้

โดยปกติแล้ว เว็บเบราว์เซอร์สมัยใหม่จะไม่อนุญาตให้ส่งคำร้องขอเพื่อเรียกดูข้อมูลบนเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มามาจากเว็บไซต์ที่ผู้ใช้กำลังเข้าชมอยู่ เว้นแต่ว่าเว็บไซต์นั้นๆ จะยินยอมเอง เพื่อป้องกันไม่ให้เกิดการร้องขอที่ไม่ได้อนุญาตโดยแอบอ้างนามของผู้ใช้เพื่อขโมยข้อมูลบนเว็บไซต์อื่นๆ ได้

อย่างไรก็ตามนักวิจัยพบว่า เว็บเบราว์เซอร์กลับไม่ตอบสนองดังที่ควรจะเป็นเมื่อมีการร้องขอข้อมูลไฟล์มัลติมีเดียบนเว็บไซต์อื่นๆ ส่งผลให้เว็บไซต์ที่ผู้ใช้กำลังเข้าชมอยู่นั้นสามารถโหลดไฟล์เสียงหรือวิดีโอจากเว็บไซต์ (โดเมน) อื่นๆ ได้อย่างไม่ติดเงื่อนไขใดๆ เขาเรียกช่องโหว่ที่ค้นพบนี้ว่า Wavethrough

นอกจากนี้ เว็บเบราว์เซอร์สมัยใหม่ยังรองรับการเรียกดูไฟล์เสียงหรือวิดีโอแบบเป็นส่วนๆ แล้วนำมาประกอบกันภายหลังในกรณีที่ไฟล์มัลติมีเดียมีขนาดใหญ่ ซึ่งช่วยให้สามารถกดหยุดหรือเล่นไฟล์ต่อขณะเล่นไฟล์หรือดาวน์โหลดไฟล์ได้ แต่การประกอบไฟล์ตรงจุดนี้เองกลับยินยอมให้นำไฟล์จากหลายๆ แหล่งที่มาประกอบกันได้ ซึ่งก่อให้เกิดช่องโหว่ให้แฮ็กเกอร์โจมตีเข้ามาได้เช่นกัน

 

Cr. techtalkthai

Post Releases