Um pesquisador do Google descobriu uma vulnerabilidade grave nos navegadores Mozilla FireFox e Microsoft Edge, que permite que os sites roubem conteúdos confidenciais das contas e informações de outros sites acessados pelos usuários.
Segundo informações do The Hack News, Jake Archibald explica que a falha está na forma como os navegadores lidam com solicitações de origem cruzada para arquivos de vídeo e áudio. Normalmente, os navegadores não permitem que os sites façam solicitações de origem cruzada para um domínio diferente, a menos que o domínio permita explicitamente.
No entanto, isso não acontece quando se trata de arquivos de mídia hospedados em outras origens, que um site carregar arquivos de áudio e vídeo de diferentes domínios sem quaisquer restrições. Além disso, os navegadores também aceitam respostas de conteúdo parcial e de cabeçalho de intervalo.
Os navegadores permitem que elementos de mídia mesclem dados visíveis e privados de várias fontes juntas. Archibald afirma que um hacker pode aproveitar esse recurso para contornar as proteções implementadas pelos navegadores que impedem as solicitações de origem cruzada.
“Os bugs começaram quando os navegadores implementaram solicitações de intervalo para elementos de mídia, que não eram cobertos pelo padrão. Essas solicitações de alcance eram realmente úteis, então todos os navegadores copiaram o comportamento uns dos outros, mas ninguém os integraram no padrão”, afirma.
Tanto o Mozilla, quanto a Microsoft já corrigiram a falha nos seus navegadores e a orientação é de que os usuários atualizem o programa. Já os navegadores Chrome e Safari não apresentaram a vulnerabilidade.