金曜日、otto-js 研究チームは、Google Chrome の高度なスペルチェック機能をユーザーがどのように使用するかについての記事を発表しました。 Microsoft Edge は、パスワードや個人を特定できる情報 (PII) を知らないうちにサードパーティのクラウド サーバーに送信する可能性があります。この脆弱性により、平均的なエンド ユーザーの個人情報が危険にさらされるだけでなく、組織の管理者資格情報やその他のインフラストラクチャ関連情報が部外者に安全に保たれないままになる可能性があります。
この脆弱性は、otto-js の共同創設者兼 CTO である Josh Summitt 氏が、同社のスクリプト動作検出機能をテスト中に発見しました。 Samit と otto-js チームは、テスト中に、Chrome の強化されたスペル チェッカーまたは Edge の MS エディターの機能を適切に組み合わせると、サーバーに返送されたときに PII やその他の機密情報を含むフィールド データが誤って公開されてしまうことを発見しました。 Microsoft そしてグーグル。どちらの機能も有効にするにはユーザーの明示的なアクションが必要ですが、一度有効にすると、ユーザーは自分のデータがサードパーティと共有されていることを認識しないことがよくあります。
フィールド データに加えて、otto-js チームは、パスワード ビューアー オプションを介してユーザーのパスワードが明らかになる可能性があることも発見しました。 このオプションは、ユーザーがパスワードを間違って入力するのを防ぐのに役立ちますが、高度なスペル チェック機能を使用してパスワードをサード パーティのサーバーに誤って公開してしまいます。
危険にさらされるのは個人ユーザーだけではありません。この脆弱性により、企業の資格情報が不正な第三者によって侵害される可能性があります。 otto-js チームは、クラウド サービスやインフラストラクチャ アカウントにログインしたユーザーが、知らず知らずのうちに認証情報をサーバーに送信する方法を示す次の例を提供しました。 Microsoft またはグーグル。
最初の画像 (上) は、Alibaba Cloud アカウントにログインする例を示しています。 Chrome からサインインすると、高度なスペル チェック機能により、管理者の許可なしにクエリ情報が Google サーバーに送信されます。 スクリーンショット (下) でわかるように、この情報には、会社のクラウドにログインするために入力された実際のパスワードが含まれています。 この種の情報へのアクセスは、企業や顧客のデータの盗難から、重要なインフラストラクチャの完全な侵害まで、あらゆることにつながる可能性があります。
otto-js チームは、ソーシャル メディア、オフィス ツール、ヘルスケア、政府、電子商取引、銀行/金融サービスを対象としたベンチマークのテストと分析を実行しました。テストされた 96 のコントロール グループのうち 30% 以上がデータを返送しました。 Microsoft そしてグーグル。テストされたサイトとグループの 73% は、オプションが選択された場合にパスワードをサードパーティのサーバーに送信しました。 パスワードを表示. パスワードを送信しないサイトやサービスには、単にその機能がありませんでした パスワードを表示 必ずしも適切に保護されていませんでした。
otto-js チームから連絡がありました Microsoft 365、Alibaba Cloud、Google Cloud、AWS、LastPass は、企業顧客に最大のリスクをもたらす上位 つのサイトおよびクラウド サービス プロバイダーです。同社のセキュリティアップデートによると、AWSとLastPassはすでに対応しており、問題は正常に修正されたと報告している。
ウクライナがロシアの侵略者と戦うのを助けることができます。 これを行う最善の方法は、ウクライナ軍に資金を寄付することです。 セーブライフ または公式ページから NBU.
また読む:
コメントを表示
落ち着いて、Firefox を使用してください
+