Coloro che usano regolarmente il browser Edge di Windows 10 e non avessero ancora applicato le patch Microsoft di giugno 2018 è bene che provvedano quanto prima. Il browser Microsoft soffriva infatti di un grave problema di sicurezza che è stato recentemente risolto.
La cosiddetta same origin policy è un approccio utilizzato in tutti i browser web: esso permette di evitare che qualunque pagina web non debba mai essere in grado di accedere al contenuto di altre pagine contemporaneamente aperte e “spiare” così i dati gestiti in altre schede o in altri processi del browser, password manager compreso.
Uno sviluppatore di Google, Jake Archibald, ha però scoperto che inserendo un contenuto opportunamente congegnato all’interno di una tag HTML5 audio
, un aggressore può superare la same origin policy e leggere i contenuti presenti nelle altre schede del browser.
Aprendo la pagina dimostrativa realizzata da Archibald il programmatore mostra come una pagina terza possa recuperare il contenuto presente in un altro sito web (in questo caso il sito del network televisivo BBC) semplicemente avviando la riproduzione di un file audio. Lo stesso meccanismo permette di estrapolare i dati Facebook, le email Gmail, le informazioni sui conti correnti bancari online e molto altro ancora, senza che l’utente si accorga di nulla.
Il bug, che è stato scherzosamente battezzato Wavethrough (CVE-2018-8235), per fortuna interessava soltanto Edge, non quindi Chrome, Firefox, Opera o Safari.
Archibald aggiunge che qualcosa di simile esisteva anche in Chrome ma è stato risolto nel 2015 a seguito degli interventi compiuti su altre falle di sicurezza.