Cisco-eide Talos kom i går med detaljer om en sårbarhet i Microsofts Edge-nettleser som potensielt kan utnyttes til å avsløre konfidensiell eller følsom informasjon. En tilsvarende sårbarhet har allerede for en stund tilbake blitt fjernet fra Google Chrome, Apple Safari og andre nettlesere basert på Blink eller WebKit. https://w3c.github.io/webappsec-csp/#initialize-document-csp.
Men Microsoft har opplyst til Talos at selskapet ikke har til hensikt å fjerne sårbarheten. Faktisk anser ikke selskapet dette som en sårbarhet i det hele tatt, men det i stedet dreier seg om ønsket funksjonalitet.
«Same-origin»
En grunnleggende sikkerhetsmekanisme i webplattformen er det som kalles for «same-origin policy». I utgangspunktet innebærer dette at kode i ett webdokument bare kan få tilgang til dataene i et annet webdokument dersom begge dokumentene stammer fra samme webserver og leveres med samme protokoll og nettverksport.
Men mange svakheter i webapplikasjoner gjør det ofte mulig å omgå denne mekanismen gjennom blant annet en angrepsform som kalles for Cross-Site Scripting (XSS), hvor angriperen kan sette inn kode i dokumentet. For en nettleser vil det se ut til at koden stammer fra den opprinnelige serveren og vil bli kjørt på vanlig måte.
Les også: Slik beskytter du nettstedet mot XSS-angrep (Digi Ekstra)
Hvitelisting
For å forhindre slike angrep, finnes blant annet mekanismen CSP (Content Security Policy), som i praksis er en hviteliste med servere som en webapplikasjon kan laste kode fra og bruke på klientsiden av en webapplikasjon.
Men sårbarheten som har blitt funnet av Nicolai Grødum ved Cisco i Norge, gjør det mulig for angripere å omgå CSP, slik at XSS-angrep likevel kan lykkes.
Blank side
Dette kan gjøres ved å få nettleseren til å åpne et nytt, tomt vindu med window.open("","_blank") og å skrive kode direkte til dette window-objektet ved hjelp av document.write-funksjonen.
Ifølge Talos skyldes dette at about:blank-siden i de berørte nettleserne hadde samme opprinnelse («origin») som dokumentet som laster den, men at CSP-restriksjonene har blitt fjernet. Talos påpeker at CSP-spesifikasjonen er temmelig klar på at CSP-restriksjonene skal arves.
Grødum skal ha varslet alle de berørte nettleserleverandørene om sårbarheten allerede i slutten av november i fjor. I mars kom svaret fra Microsoft om at selskapet ikke anså dette som en sårbarhet.
Noen uker senere skal Talos ha bedt Microsoft om å revurdere avgjørelsen, noe Microsoft skal ha gått med på i juni. Men etter dette har intet skjedd, selv om Talos i august gjorde Microsoft oppmerksomme på at detaljene om sårbarheten ville bli offentliggjort på en gitt dato, altså i går.
Google fjernet denne sårbarheten i Chrome 57, mens Apple fjernet den i Safari 10.1. Begge kom i mars i år.
Talos har publisert flere detaljer om sårbarheten i dette blogginnlegget.
Leste du denne? Microsofts nettleserandel i fritt fall. «Ingen» bytter fra IE til Edge