ProHoster > блог > Навіны інтэрнэту > Уразлівасць, якая дазваляе дадаткам Chrome выконваць вонкавы код, нягледзячы на правы доступу
Уразлівасць, якая дазваляе дадаткам Chrome выконваць вонкавы код, нягледзячы на правы доступу
Апублікаваны метад, які дазваляе ў любым дадатку да Chrome дамагчыся выкананні вонкавага JavaScript-кода без падавання дадатку пашыраных паўнамоцтваў (без unsafe-eval і unsafe-inline у manifest.json). Правы доступу мяркуюць, што без unsafe-eval дадатак мае магчымасць выканаць толькі код, які ўваходзіць у лакальную пастаўку, але прапанаваны метад дае магчымасць абыйсці дадзенае абмежаванне і выканаць у кантэксце дадатку любы JavaScript, загружаны са знешняга сайта.
У цяперашні час кампанія Google закрыла публічны доступ да справаздачы аб праблеме, але ў архіве захаваўся прыклад кода для эксплуатацыі праблемы. Спосаб аналагічны метаду абыходу абмежавання script-src 'self' у CSP і зводзіцца да падстаноўкі тэга script праз document.createElement('script') і ўключэнні ў яго вонкавага змесціва праз функцыю fetch, пасля чаго код будзе выкананы ў кантэксце самога дадатку.