Cacat memungkinkan JavaScript berbahaya untuk disematkan dalam file SVG kerentanan skrip lintas situs (XSS) di PrivateBin, pastebin aman open source, telah ditambal. PrivateBin, cabang dari ZeroBin yang populer, adalah alat online yang digunakan untuk menyimpan informasi dan is dienkripsi/didekripsi di browser menggunakan 256 bit AES, yang berarti bahwa server tidak memiliki "pengetahuan tentang data yang ditempel". Ditemukan oleh Ian Budd dari perusahaan keamanan Nethemba, cacat tersebut memungkinkan kode JavaScript berbahaya untuk disematkan dalam file gambar SVG, yang kemudian dapat dilampirkan ke pastes. Jika pengguna membuka tempel dengan lampiran SVG yang dibuat khusus dan berinteraksi dengan gambar pratinjau sementara instans tidak dilindungi oleh kebijakan keamanan konten yang sesuai, penyerang juga dapat mengeksekusi code. “Itu sangat mudah untuk membuat payload dan mengirim ke pengguna lain,” Budd memberi tahu The Daily Swig. “Bagian yang sulit adalah bahwa pengguna harus membuka pratinjau gambar di tab baru –rincian bagaimana hal ini dapat dicapai secara realistis telah dirinci oleh PrivateBin dalam laporan mereka. “Setelah eksekusi berhasil, itu dapat memungkinkan akses ke cookie yang tidak dilindungi, data penyimpanan lokal, data penyimpanan sesi, dll, untuk aplikasi lain yang berjalan di domain yang sama, di mana dikatakan cookie hadir di browser korban. Ini mungkin termasuk token autentikasi.”

Kesempatan serangan yang rendah

Budd mengatakan kemungkinan serangan yang berhasil akan relatif rendah, karena secara eksplisit memerlukan interaksi pengguna, dan karena potensi kode eksploit hanya dapat berjalan di tab baru. “PrivateBin sudah selesai pekerjaan yang bagus dalam membuat Kebijakan Keamanan Konten (CSP) yang mengurangi masalah,” katanya. “Kerentanan ditemukan saat menggunakan browser yang tidak menghormati atau mengikuti CSP ini atau situs yang CSP defaultnya telah diedit , menurunkan efektivitas.” Namun, Nethemba menemukan beberapa contoh dalam daftar instansnya yang tampaknya menghapus CSP atau mengubahnya ke pengaturan yang tidak aman, dengan dua yang memiliki lampiran yang diaktifkan dan dengan demikian rentan terhadap serangan. Tidak ada laporan tentang kerentanan yang dieksploitasi secara aktif. Cacatnya dilaporkan pada 22 Februari, dengan rincian yang dipublikasikan pada 9 April. “Pengungkapan itu mudah. Kami berkomunikasi dengan Simon Rupf yang menjalankan serangkaian pengujiannya sendiri dan memberi kami informasi tentang temuannya,” kata Budd. “Kami mendiskusikan mitigasi dan PrivateBin memberi tahu kami setiap langkahnya.” PrivateBin mengatakan telah mengurangi kerentanan di pratinjau, dan mendorong administrator server untuk meningkatkan ke versi dengan perbaikan atau untuk memastikan CSP instans mereka disetel dengan benar. Itu juga telah memperluas alat daftar direktorinya untuk menyertakan mekanisme pemeriksaan. Referensi PortSwigger.com