原作者：Catalin Cimpanu

原链接：ec4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3j5$3S2J5L8$3#2W2i4K6u0V1j5Y4g2Y4i4K6u0V1L8r3g2@1M7#2)9J5k6r3q4@1N6r3q4U0K9$3g2J5M7#2)9J5k6s2y4@1k6h3q4D9i4K6u0V1N6$3g2T1i4K6u0V1M7$3g2U0M7X3g2@1M7#2)9J5k6s2k6A6j5g2)9J5k6r3q4#2k6r3W2G2i4K6u0V1L8%4u0Q4x3X3c8$3K9h3c8W2L8#2)9J5k6r3S2@1L8h3I4Q4x3X3c8@1j5h3N6K6i4K6u0r3

谷歌最近修复了一个允许攻击者利用HTML中的音频或视频标签，窃取网站中敏感信息的Chrome浏览器漏洞。

Ron Masas，Imperva的安全专家发现并向谷歌提交了这一漏洞（CVE-2018-6177），浏览器开发者在七月份的v68.0.3440.75 Chrome更新中修复了该漏洞。

攻击者可以通过诱导受害者点击恶意链接，以恶意广告（在安全站点中内嵌的恶意广告代码）或类似XSS等注入攻击者代码的方式，在旧版本Chrome浏览器中进行攻击。

攻击利用HTML中的音频或视频标签

在前几天Bleeping Computer的报道（链接：8fdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2A6L8i4m8W2M7Y4k6S2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8U0t1H3x3e0S2Q4x3V1j5H3z5q4)9J5c8X3q4Q4x3X3c8T1N6h3N6Q4x3X3c8A6L8W2)9J5k6r3y4Z5M7X3!0E0k6g2)9J5k6r3N6A6N6X3g2K6i4K6u0V1j5X3q4V1i4K6u0V1j5h3y4@1L8%4u0K6i4K6u0V1L8r3W2U0k6h3&6K6k6g2)9J5k6s2c8G2i4K6u0V1M7r3I4S2P5g2)9J5k6o6t1H3i4K6u0V1M7i4g2W2M7%4c8A6L8$3&6K6i4K6u0V1N6$3W2@1K9q4)9J5k6s2W2G2N6i4u0Q4x3X3c8H3M7X3W2$3j5i4c8W2i4K6u0V1k6r3q4@1j5g2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4c8W2!0n7b7#2)9^5b7@1#2S2M7$3q4K6i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1&6i4K6R3%4i4K6S2m8i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1$3i4K6R3I4i4@1t1$3i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1@1i4@1u0n7i4@1p5K6i4@1f1%4i4@1p5H3i4K6R3I4i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1@1i4@1u0p5i4K6V1#2i4@1f1^5i4@1p5J5i4@1q4n7i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6R3#2i4@1p5^5i4@1f1%4i4@1q4n7i4K6V1&6i4@1f1%4i4K6R3J5i4@1t1&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4K6W2r3i4@1t1K6i4@1f1&6i4@1p5J5i4K6V1I4i4@1f1$3i4K6R3^5i4K6V1$3i4@1f1^5i4@1p5%4i4K6R3$3i4@1f1&6i4@1p5J5i4K6V1I4d9q4c8y4e0q4!0q4y4W2!0m8x3q4)9^5y4#2!0q4y4#2!0m8c8q4!0n7c8g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4y4g2)9&6b7#2!0n7b7g2!0q4y4W2)9&6z5g2!0m8c8W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

通过类似的方法，Masas表示他可以获取外部站点的请求，并猜测站点中的各种信息。

一般来说，CORS（跨域资源共享）——浏览器防止读取其他站点内容的安全策略可以有效防御上述情况，但这种攻击可以绕过CORS防御。

最重要的一点是该漏洞允许攻击者预估使用视频或音频标签的CORS大小，Masas在邮件中告诉Bleeping Computer。

攻击可以获取其他站点中的敏感、受保护数据。

在他的展示中，他成功的获取了Fackbook公开帖子中，读者限制策略下的用户年龄和性别数据。

Masas采访时表示，通过操控Facebook之类网站的数据来读取各种返回表单中的用户数据，可以长期获取敏感的重要数据。

不过Mike Gualtieri，另一个网络安全专家表示这个攻击方式可以除了获取Facebook用户数据外，还可以用于例如获取企业后门、内网等攻击中。

Gualitieri在Bleeping Computer的采访中表示：IT企业自建的内网系统最有可能受到该类攻击，因为攻击者可以通过该攻击方式获取内网信息，甚至是系统内所有用户的资料。考虑到很多系统都是根据用户登陆后进行操作的，攻击者可能利用该漏洞来窃取企业web应用中的敏感数据。

API也同样存在风险

Gualtieri还认为攻击者可以利用该漏洞发送请求，成功接触到他们不应接触的API接口。“攻击者只要有足够的耐心和精力，就能获取一大批登陆的用户信息和对应的相应API，从而招到保护不到位的web通过API端口发送的数据。“

比如说，假设某证券交易公司有一个公开的API端口返回下列数据：

Request: http[:]//victim/jsonapi/lasttrade/GOOG

Response: {"stock" : "GOOG", "lasttrade" : 0, "error" : "not logged in"}

用户的登陆请求可能是：

{"stock" : "GOOG", "lasttrade" : 100, "error" : false} 

{"stock" : "GOOG", "lasttrade" : 1000, "error" : false}

也就是说你可以猜测他购买的证券号码等信息。

这个攻击方式听上去比较魔幻，但我已经见过很多API在设计之初就没考虑到安全问题，也就是说现实中存在的风险API只会更多。

攻击方式类似Wavethrough，但有一定的不同。

如果说Masas的攻击方法听上去耳熟，那是因为在三月份也公开过一个类似的攻击方式，影响Edge和Firefox浏览器的Wavethrough漏洞(CVE-2018-8235)，。

和Masas找到的Chrome漏洞类似，Wavethrough利用音频和视频标签绕过CORS保护，从而读取其他站点中的内容数据。

但相似点仅仅到此为止。

Masas采访中告诉Bleeping Computer：Wavethrough利用了服务器对原始数据的解析漏洞，而我们则通过观察元素中的变化来绕过CORS保护，从而获得类似Facebook等严格安全策略保护的站点中的用户数据。

Jake Archibald，发现Wavethrough漏洞的谷歌工程师也表示尽管俩漏洞都利用了音频或视频的HTML标签，但还是存在很大的不同：相比Masas漏洞中通过请求包来获取数据的精确时间攻击，Wavethrough更像是一个绕过CORS保护来获取数据的Origin模型攻击。

尽管Chrome漏洞听上去很难被利用，但的确是可以利用的。

Gualtieri表示：只要准备充分，攻击并不复杂。同时他也认为通过猜测来获取信息的攻击方式并不意味着漏洞只会针对个人用户，还可以根据目标站点来同时获取多个用户的信息。

所以他建议用户们将Chrome更新到v68.0.3440.75或更新版本来避免浏览网站时发生信息泄露。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课