Cuma günü, otto-js araştırma ekibi kullanıcıların Google Chrome'un gelişmiş yazım denetimi özelliklerini nasıl kullandıklarına veya Microsoft Edge, bilmeden şifreleri ve kişisel olarak tanımlanabilir bilgileri (PII) üçüncü taraf bulut sunucularına aktarabilir. Bu güvenlik açığı yalnızca ortalama son kullanıcının özel bilgilerini riske atmakla kalmıyor, aynı zamanda bir kuruluşun idari kimlik bilgilerini ve altyapıyla ilgili diğer bilgileri dışarıdakilere karşı korumasız bırakabiliyor.
Güvenlik açığı, otto-js kurucu ortağı ve CTO Josh Summit tarafından şirketin komut dosyası davranışı algılama yeteneklerini test ederken keşfedildi. Test sırasında Samit ve otto-js ekibi, Chrome'un gelişmiş yazım denetleyicisindeki veya Edge'deki MS Düzenleyicideki özelliklerin doğru kombinasyonunun, sunuculara geri gönderildiğinde PII ve diğer hassas bilgileri içeren alan verilerinin yanlışlıkla açığa çıktığını buldu. Microsoft ve Google. Her iki özelliğin de etkinleştirilmesi için kullanıcıların açık eylemlerde bulunması gerekir ve etkinleştirildikten sonra kullanıcılar genellikle verilerinin üçüncü taraflarla paylaşıldığından habersizdir.
Saha verilerine ek olarak, otto-js ekibi, şifre görüntüleyici seçeneği aracılığıyla kullanıcıların şifrelerinin açığa çıkarılabileceğini de keşfetti. Kullanıcıların parolaları yanlış girmekten kaçınmasına yardımcı olacak bu seçenek, gelişmiş yazım denetimi özellikleri sayesinde yanlışlıkla parolayı üçüncü taraf sunuculara ifşa eder.
Bireysel kullanıcılar risk altındaki tek taraf değildir. Güvenlik açığı, kurumsal kimlik bilgilerinin yetkisiz üçüncü taraflarca ele geçirilmesine neden olabilir. Otto-js ekibi, bulut hizmetlerinde ve altyapı hesaplarında oturum açan kullanıcıların kimlik bilgilerini bilmeden sunuculara nasıl aktarabildiğini gösteren aşağıdaki örnekleri sağladı: Microsoft veya Google.
İlk görüntü (yukarıda), bir Alibaba Cloud hesabına giriş yapma örneğini göstermektedir. Chrome üzerinden oturum açtığınızda, gelişmiş yazım denetimi özelliği, sorgu bilgilerini yönetici izni olmadan Google sunucularına gönderir. Ekran görüntüsünde (aşağıda) görebileceğiniz gibi, bu bilgiler şirketin bulutuna giriş yapmak için girilen gerçek şifreyi içerir. Bu tür bilgilere erişim, kurumsal ve müşteri verilerinin çalınmasından kritik altyapının tamamen tehlikeye atılmasına kadar her şeye yol açabilir.
otto-js ekibi, sosyal medyayı, ofis araçlarını, sağlık hizmetlerini, devleti, e-ticareti ve bankacılık/finansal hizmetleri hedefleyen karşılaştırmalı değerlendirmeler üzerinde test ve analizler gerçekleştirdi. Test edilen 96 kontrol grubunun %30'sından fazlası verileri geri gönderdi. Microsoft ve Google. Test edilen sitelerin ve grupların %73'ü, seçenek seçildiğinde şifreleri üçüncü taraf sunuculara gönderdi Şifreyi göster. Parola göndermeyen siteler ve hizmetler bu özelliğe sahip değildi. Şifreyi göster ve gerektiği gibi korunmamıştır.
Otto-js ekibi iletişime geçti Microsoft Kurumsal müşteriler için en büyük riski oluşturan ilk beş site ve bulut hizmet sağlayıcısı olan 365, Alibaba Cloud, Google Cloud, AWS ve LastPass. Şirketin güvenlik güncellemelerine göre AWS ve LastPass zaten yanıt verdi ve sorunun başarıyla çözüldüğünü söyledi.
Ukrayna'nın Rus işgalcilerine karşı savaşmasına yardım edebilirsiniz. Bunu yapmanın en iyi yolu, Ukrayna Silahlı Kuvvetlerine bağış yapmaktır. Hayat kurtarmak veya resmi sayfa aracılığıyla NBU.
Ayrıca okuyun:
Sakin olun, Firefox kullanın
+