forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, позволяющая дополнениям Chrome выполнять внешний..."
Отправлено opennews, 22-Июл-19 07:56

Опубликован (https://twitter.com/gorhill/status/1151979007052845056) метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта.

В настоящее время компания Google закрыла публичный доступ к отчёту о проблеме (https://bugs.chromium.org/p/chromium/issues/detail?id=985759), но в архиве сохранился (https://archive.is/hi5o1) пример кода для эксплуатации проблемы. Способ аналогичен (https://bugs.chromium.org/p/chromium/issues/detail?id=329125) методу обхода ограничения script-src 'self' в CSP и сводится к подстановке тега script через document.createElement('script') и включения в него внешнего содержимого через функцию fetch, после чего код будет выполнен в контексте самого дополнения.

URL: https://news.ycombinator.com/item?id=20492449
Новость: https://www.opennet.ru/opennews/art.shtml?num=51142

Исходное сообщение
"Уязвимость, позволяющая дополнениям Chrome выполнять внешний..." Отправлено opennews, 22-Июл-19 07:56
Опубликован (https://twitter.com/gorhill/status/1151979007052845056) метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта. В настоящее время компания Google закрыла публичный доступ к отчёту о проблеме (https://bugs.chromium.org/p/chromium/issues/detail?id=985759), но в архиве сохранился (https://archive.is/hi5o1) пример кода для эксплуатации проблемы. Способ аналогичен (https://bugs.chromium.org/p/chromium/issues/detail?id=329125) методу обхода ограничения script-src 'self' в CSP и сводится к подстановке тега script через document.createElement('script') и включения в него внешнего содержимого через функцию fetch, после чего код будет выполнен в контексте самого дополнения. URL: https://news.ycombinator.com/item?id=20492449 Новость: https://www.opennet.ru/opennews/art.shtml?num=51142

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликован (https://twitter.com/gorhill/status/1151979007052845056) метод, позволяющий 
> в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления 
> дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). 
> Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить 
> только код, входящий в локальную поставку, но предложенный метод даёт возможность 
> обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный 
> с внешнего сайта.

> В настоящее время компания Google закрыла публичный доступ к отчёту о проблеме 
> (https://bugs.chromium.org/p/chromium/issues/detail?id=985759), но в архиве сохранился 
> (https://archive.is/hi5o1) пример кода для эксплуатации проблемы. Способ аналогичен 
> (https://bugs.chromium.org/p/chromium/issues/detail?id=329125) методу обхода ограничения 
>  script-src 'self' в CSP и сводится к подстановке тега script 
> через document.createElement('script') и включения в него внешнего содержимого через 
> функцию fetch, после чего код будет выполнен  в контексте самого 
> дополнения.

> URL: https://news.ycombinator.com/item?id=20492449 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=51142

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру