Google Developer发现了现代网络浏览器中的一个关键漏洞

Google Chrome的开发者拥护者Jake Archibald发现了该漏洞，该漏洞存在于浏览器处理视频和音频文件的跨源请求的方式中，如果被利用，远程攻击者甚至可以读取你的Gmail或私人Facebook消息的内容。

出于安全原因，现代网络浏览器不允许网站向其他域发出跨源请求，除非任何域明确允许。

这意味着，如果你在浏览器上访问一个网站，它只能从加载该网站的同一来源请求数据，防止它代表你提出任何未经授权的请求，试图从其他网站窃取你的数据。

但是，web浏览器在获取托管在其他来源上的媒体文件时不会以相同的方式响应，从而允许您访问的网站从不同的域加载音频/视频文件，而不受任何限制。

此外，浏览器还支持范围标题和部分内容响应，允许网站提供大媒体文件的部分内容，这在播放大媒体或下载具有暂停和恢复功能的文件时非常有用。

换句话说，媒体元素能够将多个响应连接在一起，并将其视为单个资源。

然而，阿奇博尔德发现Mozilla Firefox和微软Edgor允许媒体元素将可见和不透明数据或来自多个源的不透明数据混合，留下复杂的攻击向量，供攻击者打开。
在今天发布的一篇博客文章中，阿奇博尔德详细描述了这个漏洞，他称之为经过，解释了攻击者如何利用此功能绕过浏览器实施的防止跨源请求的保护。

阿奇博尔德解释说：“当浏览器实现媒体元素的范围请求时，漏洞就开始了，而标准并未涵盖这些范围请求。这些范围请求真的很有用，所以所有浏览器都是通过复制彼此的行为来实现的，但没有人将其集成到标准中。”。

根据阿奇博尔德的说法，恶意网站可以利用其网页上嵌入的媒体文件来利用这个漏洞，如果播放该文件，只会从自己的服务器提供部分内容，并要求浏览器从其他来源获取其余文件，迫使浏览器发出跨来源请求。

第二个请求实际上是一个跨源请求，应该受到限制，它将成功，因为媒体文件允许混合可见和不透明数据，允许一个网站从另一个网站窃取内容。

阿奇博尔德说：“我创建了一个这样做的网站。我使用了PCM WAV头，因为头后的所有内容都是有效数据，Facebook返回的任何内容都将被视为未压缩音频。”。

阿奇博尔德还发布了一段视频和一个概念验证漏洞，演示了恶意网站如何从Gmail和Facebook等网站获取你的私人内容，当你的浏览器为你加载这些内容时，这些网站的响应将与恶意网站的响应相同。

由于Chrome和Safari已经制定了一项政策，在基础内容在请求之间发生变化后，一旦发现任何重定向，就立即拒绝此类跨源请求，因此它们的用户已经受到了保护。

“这就是标准之所以重要的原因。我相信Chrome很久以前也有类似的安全问题，但不只是在Chrome中修复它，而是应该将修复写入标准，并为其他浏览器编写测试以进行检查，”阿奇博尔德说。

在阿奇博尔德负责任地向其安全团队报告该漏洞后，发现易受此问题攻击的FireFox和Edge浏览器也在其最新版本中修补了该漏洞。

因此，强烈建议FireFox和Edge浏览器用户确保他们运行的是这些浏览器的最新版本。