Un problème a été identifié dans le navigateur Chrome avec des données sensibles envoyées aux serveurs de Google lorsque le mode de vérification orthographique avancée est activé, ce qui implique une vérification à l'aide d'un service externe. Le problème apparaît également dans le navigateur Edge lors de l'utilisation du module complémentaire Microsoft Editor.
Il s'est avéré que le texte à vérifier est transmis, entre autres, à partir de formulaires de saisie contenant des données confidentielles, y compris à partir de champs contenant des noms d'utilisateur, des adresses, des e-mails, des données de passeport et même des mots de passe, si les champs de saisie du mot de passe ne sont pas limités par la norme. étiqueter " " Par exemple, le problème conduit à l'envoi de mots de passe au serveur www.googleapis.com si l'option d'affichage du mot de passe saisi est activée, implémentée dans Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba. Services Cloud et LastPass. Sur les 30 sites testés, parmi lesquels les réseaux sociaux, les banques, les plateformes cloud et les boutiques en ligne, 29 ont été divulgués.
Dans AWS et LastPass, le problème a déjà été rapidement résolu en ajoutant le paramètre « spellcheck=false » à la balise « input ». Pour bloquer l'envoi de données côté utilisateur, vous devez désactiver la vérification avancée dans les paramètres (section « Langues/Vérification orthographique/Vérification orthographique améliorée » ou « Langues/Vérification orthographique/Vérification orthographique améliorée », la vérification avancée est désactivée par défaut).
Source: opennet.ru