Chrome и Firefox выдавали данные пользователей Facebook
Эта эпическая ошибка была вызвана т.н. уязвимостью сторонних каналов (side-channel vulnerability), возникшей из-за реализации браузерами новых стандартов для CSS введенных в 2016 году. Одна из новых возможностей, получившая имя «mix-blend-mode», вела к утечке размещенного на Facebook контента на сторонние сайты с iframe и соответствующий код для сбора таких данных.
Как известно «Правило ограничения домена» (Same Origin Policy, Принцип одинакового источника) запрещает доступ одного домена к содержимому, размещенному на другом домене. Но эта брешь позволяла обойти данную политику, что сделало ее крайне серьезной.
Проблема утечки была найден двумя независимыми группами исследователей. Chrome устранил ее в версии 63, а две недели назад то же самое сделала Mozilla в Firefox 60. Теперь эта уязвимость более не угрожает пользователям, обновившим свои браузеры до актуальных версий, но специалисты крайне озабочены все более мощными графическими возможностями, которые постепенно добавляют в HTML5 и CSS. Эти возможности могут привести к появлению новых похожих проблем безопасности в будущем.
По материалам Evonide, Anti-malware