Εντοπίστηκε ένα πρόβλημα στο πρόγραμμα περιήγησης Chrome με την αποστολή ευαίσθητων δεδομένων σε διακομιστές της Google όταν είναι ενεργοποιημένη η λειτουργία προηγμένου ορθογραφικού ελέγχου, η οποία περιλαμβάνει τον έλεγχο χρησιμοποιώντας μια εξωτερική υπηρεσία. Το πρόβλημα εμφανίζεται επίσης στο πρόγραμμα περιήγησης Edge κατά τη χρήση του πρόσθετου Microsoft Editor.
Αποδείχθηκε ότι το κείμενο για επαλήθευση μεταδίδεται, μεταξύ άλλων, από φόρμες εισαγωγής που περιέχουν εμπιστευτικά δεδομένα, συμπεριλαμβανομένων πεδίων που περιέχουν ονόματα χρηστών, διευθύνσεις, email, δεδομένα διαβατηρίου, ακόμη και κωδικούς πρόσβασης, εάν τα πεδία εισαγωγής κωδικού πρόσβασης δεν περιορίζονται από την τυπική ετικέτα " Για παράδειγμα, το πρόβλημα έχει ως αποτέλεσμα την αποστολή κωδικών πρόσβασης στον διακομιστή www.googleapis.com εάν είναι ενεργοποιημένη η επιλογή εμφάνισης του εισαγόμενου κωδικού πρόσβασης, η οποία εφαρμόζεται στις υπηρεσίες Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud και LastPass. Από τους 30 γνωστούς ιστότοπους που ελέγχθηκαν, συμπεριλαμβανομένων κοινωνικών δικτύων, τραπεζών, πλατφορμών cloud και ηλεκτρονικών καταστημάτων, οι 29 υπέστησαν διαρροή.
Στο AWS και το LastPass, το πρόβλημα έχει ήδη λυθεί γρήγορα προσθέτοντας την παράμετρο "spellcheck=false" στην ετικέτα "input". Για να αποκλείσετε την αποστολή δεδομένων από την πλευρά του χρήστη, θα πρέπει να απενεργοποιήσετε τον προηγμένο έλεγχο στις ρυθμίσεις (ενότητα "Γλώσσες/Ορθογραφικός έλεγχος/Βελτιωμένος ορθογραφικός έλεγχος" ή "Γλώσσες/Ορθογραφικός έλεγχος/Βελτιωμένος έλεγχος", από προεπιλογή, ο προηγμένος έλεγχος είναι απενεργοποιημένος).
Πηγή: opennet.ru
