HTML-теги помогают хакерам получать информацию о пользователях

20 Август 2018

В Google Chrome обнаружили очередную опасную уязвимость, которая ставит под угрозу сохранность личных данных пользователей. Проблема кроется в использовании на сайтах видео и аудио тегов HTML.

Уязвимость, получившую идентификатор CVE-2018-6177, удалось обнаружить специалистам, работающим в компании Imperva. Они выяснили, что с помощью данной дыры злоумышленники могут получить доступ к конфиденциальной информации пользователей.

Как рассказали эксперты, для успешного совершения атаки предварительно необходимо внедрить на сайт вредоносный код, который будет способствовать загрузке контента с сайтов внутри указанных тегов. С помощью внедренного кода злоумышленники смогут проанализировать полученную информацию и выбрать для себя необходимые данные, отправляемые пользователем.

В обычных условиях пользователей от такого типа атак защищает технология CORS, но благодаря обнаруженной уязвимости эту защиту удалось обойти. Она позволила специалистам во время наглядной демонстрации проблемы получить информацию о поле, возрасте пользователей, а также другие личные данные.

Сегодня пользователям Chrome уже доступно обновление, устраняющее эту проблему.