微软Edge 出现漏洞

更新今年早些时候,Jake Archibald,谷歌Chrome的开发商发现了一个影响Mozilla Firefox和微软Edge浏览器的bug,并且尝试了两个非常不同的经验试图解决这个问题。

Mozilla,他在一篇博客文章中讲述了这个传奇,并在三个小时内对我们进行了回复。而且,由于Firefox 59在beta版本发布时其浏览器制造商收到了相关的消息,因此它能够在短期内解决这个问题,并及时的为59版提供稳定版发布。

另一方面,微软与Archibald或其本身并不是很愿意交流。

Archibald表示,他通过Edge的bug追踪器在3月1日报告了这个问题,并通知了微软提供的漏洞报告电子邮件地址secure@microsoft.com。

“那天晚些时候,我收到一封来自微软安全部门的电子邮件,称他们无法访问Edge的bug跟踪系统,并询问我是否可以将详细信息粘贴到电子邮件中,”他说。“所以是的,微软的安全团队不了解Edge安全问题。”

他通过电子邮件发送了他之前提交的漏洞详情。

第二天,他被告知微软不能在没有源代码的情况下进行调查 - 这对于通过浏览器的“查看源代码”命令的网页代码来说是明显的。

想要打败微软的Edge浏览器?谷歌的解释如何

尽管如此,Archibald还是发送了一份源代码的副本,随后进行了20天的沉默。

在与Edge团队认识的人联系后,他终于从微软那里获得了解决问题的意见。

由于他有资格获得寻找错误的奖励,他询问是否可以提名慈善机构来获得该奖项。然后又是两周的沉默。

微软最终告诉他,尽管它的错误报告文件称这是可能的,但它不能将该奖项授予慈善机构。

4月12日,他到Twitter上抱怨Edge团队针对用户反馈缺乏反应的行为。这些批评设法引起了一些微软工程师的注意,甚至他们也承认该公司对用户反馈的反应并不理想。

最后,6月12日,微软修复了 Edge中的漏洞,该漏洞可能被滥用,迫使浏览器传输私人数据。

阿奇博尔德认为这个错误很重要。“这意味着你可以访问我在Edge的网站的信息,并且我可以阅读你的电子邮件,我可以阅读你的Facebook feed,所有这些都不需要你知道,”他说。

丰富的bug

这个错误本身就源于RangeHTTP请求头从未被标准化为HTML 的事实。

“我们知道标题的样子,以及它什么时候应该出现,但没有什么可以告诉浏览器应该怎么处理它们,”Archibald解释说。

在音频或视频等媒体数据的上下文中,指定范围参数允许返回特定范围的字节,例如,这可能对收听歌曲的特定部分有用。

但缺乏关于浏览器如何处理部分内容的细节意味着至少在Firefox和Edge中,已知数据可能与未知数据混合在一起。Archibald在GitHub发布帖子中描述了几种攻击场景。

Archibald 在发给The Register的电子邮件中表示,他已经增加了fetch阻止Attack 4的步骤,但他或其他人需要编写代码来处理其他情况。

他还为所有四种主流浏览器(Chrome,Edge,Firefox和Safari)提交了错误报告,以确保规范更改得到满足。

当被问到微软如何改进错误报告协议时,Archibald要求更好的沟通。

“重要的是让记者跟浏览器工程师保持联系,”他说。“这就是Chrome和Firefox所做的。”

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/06/20/browser_bug_odyssey
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券