A vulnerabilidade foi descoberta pelo pesquisador do Google Jake Archibald, que diz ter encontrado o bug por acidente, e o chamou de "WaveThrough". O erro, que existente em alguns navegadores modernos como o Mozilla Firefox e o Microsoft Edge, já foi relatado e as empresas lançaram patches que estão disponíveis nas atualizações mais recentes. Por isso, recomendamos que os usuários atualizem seus navegadores para que estejam protegidos contra qualquer ameaça que tente explorar essa vulnerabilidade.
De acordo com informações do Hacker News, o erro está na forma como o navegador lida com as solicitações de origem cruzada para arquivos de vídeo e áudio. Caso explorada, a vulnerabilidade pode permitir que um cibercriminoso leia, de forma remota, seus e-mails ou informações sobre sua atividade no Facebook.
Para que você entenda, por segurança, normalmente os navegadores não permitem que os sites façam solicitações de origem cruzada para um domínio diferente, a menos que o domínio permita explicitamente. Portanto, quando um usuário visita um site, o navegador apenas pode solicitar dados da mesma origem na qual o site foi carregado, impedindo que seja realizada uma solicitação não autorizada na tentativa de roubar dados de outros sites em seu nome. No entanto, ao procurar por arquivos multimídia hospedados em outras origens, os navegadores não funcionam da mesma forma e permitem que um site que visitamos faça o upload de arquivos de áudio e/ou vídeo de diferentes domínios sem nenhum tipo de restrição.
Quando um navegador realiza um pedido, ele solicita todos os recursos. No entanto, o site define através do range header que parte do conteúdo irá oferecer, fazendo com que um site possa usar apenas uma parte de um arquivo multimídia maior como um resumo.
Para que se entienda, los archivos multimedia tienen la capacidad de unir piezas provenientes de múltiples respuestas y tratarlas como um único recurso. Os arquivos multimídia têm a capacidade de unir partes de várias respostas e tratá-las como um único recurso.
Nesse sentido, conforme explica Archibald, o Firefox e o Edge permitem que elementos multimídia misturem dados visíveis e opacos de múltiplas origens, deixando aberta a possibilidade de um cibercriminoso tirar proveito disso.
De acordo com a publicação da página Hacker News, para Archibald essa vulnerabilidade pode ser explorada por um site malicioso através do uso de um arquivo multimídia incorporado em sua página, que ao ser reproduzido, apenas oferece conteúdo parcial de seu próprio servidor e solicita que o navegador procure o resto do arquivo em uma origem diferente, forçando o navegador a fazer solicitações de origem cruzada com outro domínio.
Desta forma, o segundo pedido, que deve ser restrito por ser de origem cruzada, é realizado com sucesso, permitindo a visibilidade de dados visíveis e opacos para um arquivo multimídia, o que pode permitir que um site roube informações de outro.
Navegadores como Chrome e Safari rejeitam essas solicitações de origem cruzada. No caso do Firefox e Edge, a vulnerabilidade foi reparada com um patch disponível na última atualização, depois que Archibald informou as empresas sobre sua descoberta. Portanto, se você é um usuário do Mozilla Firefox ou Microsoft Edge, certifique-se de atualizar seu navegador e instalar a versão mais recente.