Інженери Google планують прибрати одну з вбудованих у Chrome функцій безпеки. За словами розробника Chrome Томаса Сепеза (Thomas Sepez), відома під назвою XSS Auditor функція більше не відповідає вимогам сучасної системи захисту.
XSS Auditor була додана в Chrome ще в 2010 році з релізом Chrome v4. Як випливає з назви, функція захисту сканує вихідний код web-сайту на наявність патернів, що вказують на XSS-атаку, здатну запустити шкідливий код у браузері користувача. У разі виявлення подібної атаки, Chrome може видалити шкідливий код або заблокувати завантаження сайту, видаючи відповідне повідомлення.
Багато років XSS Auditor була унікальною функцією в браузерному середовищі, допомагаючи Chrome виділятися на тлі інших браузерів. З моменту запуску XSS Auditor аналогічний функціонал почали реалізовувати розробники інших браузерів за допомогою розширень, наприклад, NoScript вже кілька років підтримує механізм захисту від XSS-атак.
Існує кілька причин, через які розробники Google вирішили позбутися XSS Auditor. У якості першої і основної вказуються численні способи обходу XSS Auditor. Крім цього, всі спроби виправити цю уразливість роблять більш уразливим і сам Chrome. Існує також проблема з помилковим спрацьовуванням, коли XSS Auditor блокувала доступ до офіційних сайтів. У зв’язку з цим, із релізом Chrome 74 експерти Google перемкнули режим “блокувати”, встановлений за замовчуванням у XSS Auditor, на “фільтрувати”. Тобто, з квітня 2019 року функція безпеки не блокує доступ до сайтів із XSS-кодом, а видаляє код, намагаючись скоротити кількість помилкових спрацьовувань.
До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.
Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.
