Pengembang kerangka kerja JavaScript Vue.js telah mengatasi kerentanan cross site scripting (XSS) di ekstensi Chrome, tetapi hanya bertindak setelah peneliti mengumumkan kesalahan tersebut.
Jiantao Li dari starlabs konsultan keamanan yang berbasis di Singapura menemukan kekurangan tersebut sebelum memberi tahu pengembangnya, yang memiliki lebih dari satu juta pengguna di antara komunitas pengembangan perangkat lunak.
Setelah lebih dari dua minggu tanpa hasil mencoba memberi tahu pengembang secara pribadi melalui email, starlabs mencoba pendekatan yang berbeda dan memposting tentang masalah tersebut di GitHub yang menawarkan detail di samping kode bukti konsep. Pendekatan yang berbeda membuahkan hasil yang cepat dan masalah diselesaikan dalam waktu tiga jam.
Dalam laporannya, starlabs menjelaskan dampak kerentanan dan bagaimana penyerang mungkin mengeksploitasinya sebelum diselesaikan.
“Ini pada dasarnya adalah kerentanan injeksi kode di ekstensi browser populer,” jelas peneliti. “Penyebabnya adalah data yang tidak dipercaya dieksekusi sebagai kode.
“UXSS akan memungkinkan penyerang untuk mengeksekusi JavaScript dari satu domain ke domain lain jika berhasil dieksploitasi.”
Sumber: The Daily Swig
