Chrome, Firefox: bug nei CSS esponeva alcune informazioni Facebook

01 Giugno 2018 7

Google Chrome e Mozilla Firefox erano vulnerabili a un bug che avrebbe potuto fornire a siti web infetti alcuni dati di Facebook (foto del profilo, nome, like) contro la volontà degli utenti. Fortunatamente i due browser sono già stati aggiornati - Chrome addirittura da mesi.

Il bug persiste dal 2016, ed è relativo a una funzione introdotta a quell'epoca per i CSS (Cascading Style Sheets, linguaggio usato per la formattazione delle pagine HTML). La funzione si chiama mix-blend-mode; semplificando molto, la vulnerabilità consisteva nella possibilità di leggere informazioni grafiche (i colori dei singoli pixel) immagazzinate da tale funzione anche su domini diversi da quelli su cui i dati erano stati generati. Serviva un algoritmo di ricostruzione per ottenere l'immagine vera e propria.

La falla era stata notificata a Google già ad aprile 2017. Chrome risolse il problema con la versione 63. Per un curioso errore, la segnalazione arrivò a Mozilla molto più tardi - verso novembre 2017. Una correzione è stata rilasciata due settimane fa. Il problema non interessa Internet Explorer/Microsoft Edge, perché non ha implementato la funzione mix-blend-mode; Apple Safari la implementa, eppure nemmeno qui il bug è/è stato presente. Al momento non si sa perché.

La vulnerabilità in questione non è particolarmente dannosa, e non ci sono segnalazioni di siti che la sfruttino attivamente. Ma per i ricercatori è un campanello d'allarme per il futuro: le tecnologie di sviluppo web (come CSS, JavaScript e HTML) hanno capacità sempre maggiori di elaborare informazioni grafiche, perciò bug di questo tipo potrebbero diventare sempre più frequenti. Anzi, è probabile che ci siano già ora, in attesa che qualcuno li scopra.

Schermo Oled da 6 pollici in dimensioni contenute? LG V30, in offerta oggi da Phone Strike Shop a 389 euro oppure da Media World a 449 euro.

7

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
takaya todoroki

E' già strano che non siano venuti fuori con robe tipo "ma tanto il profilo FB è pubblico!12" oppure "e allora google?!!" ;)

Aster

Visto il nr dei commenti vedo che la gente è sempre attenta alla questione privacy e sicurezza:)

Mastro Tracco

proprio sicuro chrome, per fortuna non lo uso più da anni.

No. Non entrano in cache ma in cookies al limite.

Nella cache entrano pagine HTML, immagini, CSS e Javascripts.
E' una prassi comune richiamare scripts di altre pagine affinché la pagina web non debba ricaricarle ma usa quelle già scaricate. Spesso si usano scripts su server Microsoft e Google per aumentare la velocità di caricamento.

Per diminuire ancora maggiormente la pagina web, Facebook ha inserito immagini e dati personali nel CSS (stylesheet che definisce l'apparenza della pagina). E un CSS può essere aperto da qualsiasi altra pagina.

takaya todoroki

di fatto puoi immaginare il processo come una fotografia, un po' distorta, della pagina che caricheresti tu col browser.

PUTinV2

Ma è strabilianteeee. Quindi una qualsiasi pagina potrebbe visualizzare la mia mail e la lunghezza della psw che uso per autenticarmi?

takaya todoroki

Non riguarda Facebook, riguarda qualunque pagina abbia un aspetto (grafica o testo ) personalizzato su di noi, quindi normalmente quelli in cui siamo autenticati, ma non solo.

Quanto è utile una ciabatta SMART? Ecco perchè comprarla | Video | #BESTBUY

Il miglior cavo per ricarica e trasferimento dati | Video | #bestbuy

Effetto Iliad: le migliori tariffe degli altri operatori concorrenti entro 10 euro | Video

Come e perché smaltire rifiuti tecnologici: lunga vita al bidone barrato #report