微软Edge 出现漏洞

更新今年早些时候，Jake Archibald，谷歌Chrome的开发商发现了一个影响Mozilla Firefox和微软Edge浏览器的bug，并且尝试了两个非常不同的经验试图解决这个问题。

Mozilla，他在一篇博客文章中讲述了这个传奇，并在三个小时内对我们进行了回复。而且，由于Firefox 59在beta版本发布时其浏览器制造商收到了相关的消息，因此它能够在短期内解决这个问题，并及时的为59版提供稳定版发布。

另一方面，微软与Archibald或其本身并不是很愿意交流。

Archibald表示，他通过Edge的bug追踪器在3月1日报告了这个问题，并通知了微软提供的漏洞报告电子邮件地址secure@microsoft.com。

“那天晚些时候，我收到一封来自微软安全部门的电子邮件，称他们无法访问Edge的bug跟踪系统，并询问我是否可以将详细信息粘贴到电子邮件中，”他说。“所以是的，微软的安全团队不了解Edge安全问题。”

他通过电子邮件发送了他之前提交的漏洞详情。

第二天，他被告知微软不能在没有源代码的情况下进行调查 - 这对于通过浏览器的“查看源代码”命令的网页代码来说是明显的。

想要打败微软的Edge浏览器？谷歌的解释如何

尽管如此，Archibald还是发送了一份源代码的副本，随后进行了20天的沉默。

在与Edge团队认识的人联系后，他终于从微软那里获得了解决问题的意见。

由于他有资格获得寻找错误的奖励，他询问是否可以提名慈善机构来获得该奖项。然后又是两周的沉默。

微软最终告诉他，尽管它的错误报告文件称这是可能的，但它不能将该奖项授予慈善机构。

4月12日，他到Twitter上抱怨Edge团队针对用户反馈缺乏反应的行为。这些批评设法引起了一些微软工程师的注意，甚至他们也承认该公司对用户反馈的反应并不理想。

最后，6月12日，微软修复了 Edge中的漏洞，该漏洞可能被滥用，迫使浏览器传输私人数据。

阿奇博尔德认为这个错误很重要。“这意味着你可以访问我在Edge的网站的信息，并且我可以阅读你的电子邮件，我可以阅读你的Facebook feed，所有这些都不需要你知道，”他说。

丰富的bug

这个错误本身就源于RangeHTTP请求头从未被标准化为HTML 的事实。

“我们知道标题的样子，以及它什么时候应该出现，但没有什么可以告诉浏览器应该怎么处理它们，”Archibald解释说。

在音频或视频等媒体数据的上下文中，指定范围参数允许返回特定范围的字节，例如，这可能对收听歌曲的特定部分有用。

但缺乏关于浏览器如何处理部分内容的细节意味着至少在Firefox和Edge中，已知数据可能与未知数据混合在一起。Archibald在GitHub发布帖子中描述了几种攻击场景。

Archibald 在发给The Register的电子邮件中表示，他已经增加了fetch阻止Attack 4的步骤，但他或其他人需要编写代码来处理其他情况。

他还为所有四种主流浏览器（Chrome，Edge，Firefox和Safari）提交了错误报告，以确保规范更改得到满足。

当被问到微软如何改进错误报告协议时，Archibald要求更好的沟通。

“重要的是让记者跟浏览器工程师保持联系，”他说。“这就是Chrome和Firefox所做的。”