Probléma merült fel a Chrome böngészőben, amely bizalmas adatokat küld a Google szervereire, amikor a speciális helyesírás-ellenőrző mód engedélyezve van, ami egy külső szolgáltatással történő ellenőrzést jelent. A probléma az Edge böngészőben is előfordul a Microsoft Editor bővítmény használatakor.
Kiderült, hogy az ellenőrzésre szánt szöveget többek között bizalmas adatokat tartalmazó beviteli űrlapokról továbbítják, beleértve a felhasználóneveket, címeket, e-maileket, útlevéladatokat és akár jelszavakat tartalmazó mezőket is, ha a jelszóbeviteli mezőket nem korlátozza a „ "Például a probléma ahhoz vezet, hogy elküldjük ide: szerveren www.googleapis.com jelszavak, ha a beírt jelszavak megjelenítésének opciója engedélyezve van, megvalósítva a Google Cloudban (Secret Manager), az AWS-ben (Secrets Manager), a Facebookban, az Office 365-ben, az Alibaba Cloudban és a LastPassban. A tesztelt 30 ismert weboldal közül, köztük közösségi média, bankok, felhőplatformok és online áruházak, 29 volt sebezhető a szivárgással szemben.
Az AWS és a LastPass már megoldotta ezt a problémát a „spellcheck=false” paraméter hozzáadásával az „input” taghez. A felhasználói oldali adatküldés blokkolásához tiltsa le a továbbfejlesztett helyesírás-ellenőrzést a beállításokban (a „Nyelvek/Helyesírás-ellenőrzés/Továbbfejlesztett helyesírás-ellenőrzés” vagy a „Nyelvek/Helyesírás-ellenőrzés/Továbbfejlesztett helyesírás-ellenőrzés” alatt; a továbbfejlesztett helyesírás-ellenőrzés alapértelmezés szerint le van tiltva).
Forrás: opennet.ru
