行业新闻与博客

安全研究人员发现，网络浏览器，文本编辑器和网站使用的复制和粘贴功能中的怪癖可能会被滥用来执行跨站点脚本（XSS）攻击和数据泄露。

如果用户将内容从恶意网站复制到剪贴板，然后将数据粘贴到合法网站内的 WYSIWYG 编辑器中，则用户将面临风险。

基于最近发表的针对 TinyMCE 文本编辑器的研究，MichałBentkowski 于昨天（6月15日）发表了一篇关于他的复制和粘贴漏洞的深入研究。

这位研究员今年还发现了 CKEditor 中的 XSS 漏洞，在发掘了 Web 浏览器中的四个安全问题和富文本编辑器中的五个漏洞后，赢得了总计超过 30,000 美元的错误赏金。

建立在“复制和害虫”上

波兰网络安全机构 Securitum 的首席安全研究员 Bentkowski 表示，他的工作是基于 Mario Heiderich 在 2015年所做的研究得出的，该研究表明了如何从非浏览器应用程序（如 LibreOffice 或 Microsoft Word）复制数据并将其粘贴到浏览器中会导致 XSS。

Bentkowski 展示了数据泄露是另一个潜在结果，并证明 JavaScript WYSIWYG 编辑器会引入安全漏洞，即使浏览器本身已被清理绕过漏洞所感染。

他解释说：“ JavaScript 代码可以忽略浏览器的清理过程并手动处理它。”

“每个流行的所见即所得编辑器都自行处理粘贴事件”，以删除危险元素，正确处理来自流行编辑器的内容，并对粘贴的元素进行标准化。

Bentkowski 还证明“与从外部应用程序复制并粘贴到浏览器中相比，更可能利用两个浏览器选项卡之间的复制和粘贴。”

他的研究专注于格式化文本，“因为它相当于浏览器世界中的 HTML 标记”。

消毒剂旁路大富翁

本特科夫斯基创建了一个“ 复制和粘贴游乐场 ”，以使漏洞发现者能够探索“巨大的攻击面”，他在 Chromium，Firefox，Safari 和 Edge 浏览器中发现了至少一个消毒剂旁路。

例如，可以在 Gmail，Wikipedia 和 Blogger 上触发现已在 Chromium 79 中修复的通用 XSS ，作为他提供给 Google 的概念证明。

另一个 Chromium 错误从页面泄漏了 CSS 数据，包括会话令牌或用户的个人信息。另一个视频展示了 Gmail 中的漏洞利用，这使 Bentkowski 获得了 10,000 美元的巨额奖励。

同时，Firefox 的两个缺陷集中在剪贴板中样式表的粘贴上。

他在 2月发表的研究报告中对研究进行了更深入的概述，研究人员展示了您可以通过一个注入点通过 CSS 泄漏数据，同时他展示了 Firefox 的 XSS 突变如何影响 Aloha Editor 等竞争工具。

可视编辑器零时差

Bentkowski 告诉 The Daily Swig，Froala 所见即所得 HTML 编辑器中的一个漏洞仍然是一个零日漏洞。

他在帖子中说：“ Froala 使用正则表达式和字符串处理来进行广泛的 HTML 处理是有罪的。” 这被称为“另一个很好的例子，将 HTML 作为字符串处理几乎总是一个坏主意。”

Bentkowski 已为 Google 的 Closure Library 清理工具中的一个漏洞创建了一个 Closure 操场，该漏洞会影响 Gmail 用户，但只能与浏览器错误一起使用。

推荐 G Suite 中的 SMTP 欺骗欺骗的 Google 电子邮件域

成功针对 Google Docs 征收的漏洞利用了非 HTML 内容类型，可以通过 DOM 破坏和 XSS 进行安装。

另一个未命名的应用程序也容易受到该漏洞的影响，这反映了一个事实，即“某些编辑器让浏览器进行初始清理，然后对经过预先清理的内容执行一些操作。”

TinyMCE 中的缺陷，可以说是最受欢迎的所见即所得 HTML 编辑器，促使开发人员发布了两个安全 公告，敦促应用程序开发人员进行升级。

同时，CKEditor 的开发人员修复了 CKEditor 4 中发现的 Bentkowski 漏洞。

'非常模糊'

Bentkowski 在他的研究文章中说：“我已经证明，从剪贴板粘贴内容似乎是一种被低估的攻击手段。”

他将“剪贴板 API 的规范”描述为“对粘贴时的内容进行清理非常模糊”，他敦促浏览器供应商制定在所有浏览器中“安全且一致”的特定清理规则。

他告诉《每日新闻》：“我预计未来几个月会有更多袭击。我希望我的研究能够提高人们的认识，并使更多的人报告所见即所得（WYSIWYG）编辑器中的错误，因为我的印象是，它们通常无法很好地免受这类攻击。

本文由机器译制