Хакер #305. Многошаговые SQL-инъекции
Разработчики Mozilla исправили баг, связанный с облачным буфером обмена Cloud Clipboard. Из-за бага в буфер попадали имена пользователей и пароли, которые могли быть раскрыты третьим лицами.
Уязвимость была исправлена еще в Firefox 94, выпущенном в прошлом месяце, однако разработчики Mozilla подробно рассказали о ней только сейчас. Проблема была связана с Windows Cloud Clipboard, функцией, которая появилась в Windows 10 в сентябре 2018 года (в версии 1809) и позволяет пользователям синхронизировать историю локального буфера обмена со своим аккаунтом Microsoft.
По умолчанию эта функция отключена, но после включения позволяет получить доступ облачному буферу обмена, нажав Windows + V. Это предоставляет пользователям доступ к данным буфера со всех подключенных устройств, но также функция используется для сохранения истории буфера обмена, позволяя пользователям просматривать прошлые данные, которые они копировали и вставляли куда-либо.
В своем сообщении разработчики Mozilla сообщили, что они модифицировали Firefox таким образом, чтобы имена пользователей и пароли, скопированные из раздела паролей браузера (about: logins), не сохранялись в Cloud Clipboard, а только локально, в отдельном разделе буфера обмена.
Mozilla заявила, что считает сохранение данных в Cloud Clipboard потенциально опасным, так как злоумышленник, имеющий доступ к синхронизированному устройству, может просто нажать Windows + V и получить доступ к любым данным из буфера обмена на других устройствах. Хуже того, в локальных логах не будет никаких следов того, что кто-то дополучал доступ и просматривал данные (например, пароли) через облачный буфер.
Кроме того, в Mozilla сообщают, что добавили эту защиту и в окна Private Browsing, и теперь ничто, скопированное из такой вкладки Firefox, тоже не будет синхронизироваться с облачным буфером обмена Windows.