พบช่องโหว่ Wavethrough บนเว็บเบราเซอร์ทำให้ Hacker สามารขโมยข้อมูลได้

ช่องโหว่ wavethrough ได้ถูกพบโดยนักพัฒนาซอฟต์แวร์ของ Google Jake Archibald  ช่องโหว่นี้สามารถทำให้ Hacker เข้าถึงข้อมูลใน Gmail หรือ Facebook ได้จากการเปิดใช้บนเบราเซอร์เดียวกัน

ช่องโหว่นี้เกิดจากการที่เว็บเบราเซอร์ไม่มีการตอบสนองต่อไฟล์สื่อมัลติมีเดีย ทำให้ผู้ที่เข้าชมเว็บไซต์สามารถโหลดไฟล์ audio หรือวีดิโอจากเว็บอื่นๆ ได้โดยไม่ต้องมีเงื่อนไขใดๆ ซึ่งถ้าไฟล์มีเดียมีขนาดใหญ่ เว็บเบราเซอร์สามารถที่จะโหลดไฟล์มีเดียเหล่านี้ออกเป็นส่วนๆ แล้วค่อยนำมาประกอบกันภายหลังได้ ซึ่งทำให้สามารถกดหยุด หรือเล่นไฟล์ต่อในขณะที่กำลังดาวน์โหลดไฟล์ได้ ช่วงระหว่างประกอบไฟล์นี้เอง ทำให้ Hacker สามารถทำการโจมตีได้

Archibald เรียกช่องโหว่นี้ว่า Wavethrough ช่องโหว่นี้สามารถทำให้ Hacker สามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ ที่เปิดบนเบราเซอร์เดียวกันได้ ไม่ว่าจะเป็นข้อมูลการล็อกอิน หรือข้อมูลที่อยู่ในเมล เป็นต้น

Archibald ได้เผยแพร่วีดิโอสาธิตการทำการร้องขอเพื่อข้ามผ่านระบบป้องกัน cross-origin request ของเว็บเบราว์เซอร์เพื่อขโมยข้อมูล ของช่องโหว่นี้จาก Gmail และ Facebook

วีดิโอจาก :The Hacker News

เบื้องต้นพบว่า ช่องโหว่นี้ไม่ส่งผลกระทบกับ Chrome และ Safari แต่ Mozilla Firefox และ Microsoft Edge ยังคงมีความเสี่ยงต่อการโจมตีนี้

ล่าสุด หลังจากทาง Mozilla กับ Microsoft ทราบถึงปัญหานี้ได้ทำการแก้ไข และออกแพตซ์ล่าสุดเพื่อแก้ปัญหาช่องโหว่นี้เรียบร้อยแล้ว

ที่มา : The Hacker News