稍微学过一点网页设计的朋友通常会听过 CSS 这个东西,CSS 可以说是为了让 HTML、XML 文档能更多采多姿而生,但 CSS 语言也不完全都是个好东西,有时候可能会引起资安威胁。像是最近任职于 Google 的安全工程师 Ruslan Habalov 发现一个 CSS 漏洞 。在混合模式(mix-blind-mode)这个近期才被引进的功能下,透过 iframe 语法将 Facebook 页面嵌入后,竟导致隐私泄漏问题。由于是 CSS 方面的问题,因此这个黑锅势必要让主流浏览器们背上。Ruslan 认为这个问题虽然影响很大,但只要更新浏览器,至少可以封住这个功能带来的隐私泄漏问题:
▲Facebook 虽然是受害者,但漏洞来源竟是许多网页设计师熟悉的 CSS(图片来源)
CSS 虽然不断推出新版本来因应更复杂的网页设计,但对于浏览器而言,主要还是要看维护组织是否加入新版本 CSS。在微软还没将 Edge 浏览器做出来前,许多第三方浏览器都会透过 CSS 测试来强调自家浏览器的先进与相容性。通常这样的测验往往会让规格与功能落后的 Internet Explorer 表现不佳,直到 Edge 浏览器的问世才有了飞越性的成长。
而每一家浏览器虽然都会参照当下的主流 html 或 CSS 版本来支援,但不一定维护得面面俱到,总会有意外的时刻。但有些浏览器在更新的脚步下比较迅速,就能第一时间反应这个问题,就这一点来说,目前大家熟知的 Google Chrome、Mozilla Firefox 浏览器都达到要求。并且第一时间释出更新解决问题。所以要预防这个问题,最好的作法当然是帮助浏览器更新版本:
▲尽快更新浏览器,可以初步防止漏洞进一步影响。另外微软的 IE、Edge 及 Apple 的 Safari 浏览器并未被此漏洞影响(图片来源)
这次出现问题的 CSS 混合模式,是在 2016 年被加入的一个新标准功能。功能本身没有太多问题,但是却在意想不到的地方可以让 Facebook 栽了,也是相当奇妙的一件事。毕竟一般浏览器都会有所谓的同源政策(same-origin policy),避免造访的网域中嵌入的是其他网站的内容。不过 CSS 混合模式却出现了旁路(side-channel)漏洞,导致以 iframe 语法嵌入Facebook 网页时,会直接暴露使用者的隐私,若漏洞未能即时修补,任何一个人,即便只是一个网络广告商,都可以透过这个途径去取得用户的个人资讯:
▲旁路漏洞的示意图,透过 iframe 将导致原本要被隐藏起来的资讯被曝光在眼前(图片来源)
▲以动画演示利用漏洞盗取个人资讯的过程(图片来源)
目前研究人员已经将漏洞问题回报给 Google Chrome 与 Mozilla Firefox ,目前新版浏览器已经修正了相关问题,包含 Facebook 在内的社群网站也第一时间修补安全性。起码我们可以不必担心这个漏洞将会使有心人更进一步掌握我们的隐私资讯。
消息来源