Forskere ved Technische Universität Wien i Østerrike har utviklet et formelt rammeverk kalt WebSpec for å analysere sikkerheten til ulike nettlesere, skriver The Register.
Rammeverket ble utviklet av Lorenzo Veronese, Benjamin Farinier, Mauro Tempesta, Marco Squarcina og Matteo Maffei.
De har brukt WebSpec til å finne flere logiske feil som påvirker nettlesere. Forskerne oppdaget for eksempel et nytt cookies-basert angrep og en uløst motsetning i retningslinjene for innholdssikkerhet.
De logiske feilene utgjør ikke nødvendigvis sikkerhetssårbarheter i seg selv, men kan være det. Feilene er skjevheter mellom spesifikasjonene til nettplattformen og måten disse spesifikasjonene blir implementert i nettlserene.
- Angriperne kommer inn, utforsker, ligger lavt, henter ut data, starter kryptering
Tre mislyktes
WebSpec bruker Coq theorem proving language til å formelt teste samspillet mellom nettleserne og deres spesifikke oppførsel.
For å teste for inkonsekvenser mellom nettspesifikasjoner og nettlesere, definerte forskerne ti "invarianter", som hver beskriver "en egenskap ved nettplattformen som forventes å holde på tvers av oppdateringene, uavhengig av hvordan komponentene muligens kan samhandle med hverandre", ifølge The Register.
Disse invariantene eller reglene representerer testbare forhold som bør gjelde, for eksempel "informasjonskapsler med Secure-attributtet kan bare settes (ved å bruke Set-Cookie) over sikre kanaler," som definert i RFC 6265, avsnitt 4.1.2.5.
Av de ti invariantene som ble evaluert, mislyktes tre.
- Spesielt viser vi hvordan WebSpec er i stand til å oppdage et nytt angrep på __Host-prefikset for informasjonskapsler, så vel som en ny inkonsekvens mellom arvereglene for innholdssikkerhets-policyen og en planlagt endring i HTML-standarden, forklarer forskningsartikkelen.
Apache Log4j-hullet skaper problemer også for norske utviklere
Støtte blir utelatt
HTTP-informasjonskapsler prefikset med "__Host-" skal bare settes av vertsdomenet eller scriptene som er inkludert på sidene på det domenet. WebSpec fant imidlertid et angrep for å bryte den relaterte invariante testen.
"Et skript som kjører på en side kan under kjøring endre det effektive domenet som brukes for SOP (Same-Origin Policy)-sjekker gjennom document.domain API," står det i forskningsartikkelen.
Forfatterne bemerker at misforholdet mellom tilgangskontroll-retningslinjer i Document Object Model (DOM) og Cookie Jar lar et skript som kjører i en iframe få tilgang til document.cookie-egenskapen på en overordnet side. Så lenge begge sidene setter document.domain til samme verdi, skriver The Register.
Forskerne bemerker at selv om den nåværende nettplattformen forblir sårbar for dette angrepet, vil ikke dette vare for alltid: Document.domain-egenskapen har blitt avviklet, noe som betyr at fremtidige nettleser-oppdateringer vil stoppe støtten.
Ekspert: - Norge har stått i en ransomware-pandemi
Enormt sårbare
Nettlesere har blitt ekstremt komplekse, en utvikling som vil fortsette ettersom nettplattformene får flere komponenter. Forskerne trekker fram at nye komponenter gjennomgår såkalt compliance testing, som blir utført manuelt av tekniske eksperter.
"Uheldigvis har manuelle gjennomganger tendert til å overse logiske feil. Noe som leder til kritiske sårbarheter", skriver de.
For å understreke poenget viser forskerne til en sårbarhet i HttpOnly-flagget, som ikke ble oppdaget før åtte år etter lanseringen.