Um pesquisador do Google descobriu uma vulnerabilidade grave nos navegadores Mozilla FireFox e Microsoft Edge, que permite que os sites roubem conteúdos confidenciais das contas e informações de outros sites acessados pelos usuários.
Segundo informações do The Hack News, Jake Archibald explica que a falha está na forma como os navegadores lidam com solicitações de origem cruzada para arquivos de vídeo e áudio. Normalmente, os navegadores não permitem que os sites façam solicitações de origem cruzada para um domínio diferente, a menos que o domínio permita explicitamente.
No entanto, isso não acontece quando se trata de arquivos de mídia hospedados em outras origens, que um site carregar arquivos de áudio e vídeo de diferentes domínios sem quaisquer restrições. Além disso, os navegadores também aceitam respostas de conteúdo parcial e de cabeçalho de intervalo.
“Os bugs começaram quando os navegadores implementaram solicitações de intervalo para elementos de mídia, que não eram cobertos pelo padrão. Essas solicitações de alcance eram realmente úteis, então todos os navegadores copiaram o comportamento uns dos outros, mas ninguém os integraram no padrão”, afirma.
Tanto o Mozilla, quanto a Microsoft já corrigiram a falha nos seus navegadores e a orientação é de que os usuários atualizem o programa. Já os navegadores Chrome e Safari não apresentaram a vulnerabilidade.