Специалисты Рурского университета в Бохуме и Университета прикладных наук Нижнего Рейна (Германия) выявили 14 новых атак «межсайтовых утечек» (XS-Leaks) на современные браузеры, в том числе Google Chrome, Microsoft Edge, Safari и Mozilla Firefox.
XS-Leaks – атаки по сторонним каналам, позволяющие вредоносным сайтам обходить правило ограничения домена (same-origin policy) в браузере и в фоновом режиме похищать информацию из доверенного ресурса, на котором пользователь вводит данные. К примеру, с помощью подобной атаки сайт, открытый в неактивной вкладке браузера, может похищать содержимое электронного почтового ящика из сервиса электронной почты в активной вкладке.
Межсайтовые утечки не являются чем-то новым, однако, по словам исследователей, не все из них были выявлены и классифицированы как XS-Leaks, а корень проблемы до сих пор остается невыясненным.
Специалисты Рурского университета в Бохуме и Университета прикладных наук Нижнего Рейна решили провести исследование и установить новые методы XS-Leaks, разработать механизмы защиты и получить лучшее представление о том, как эти атаки работают.
Сначала исследователи определили три характеристики межсайтовых утечек и оценили все методы включения и техники утечки для большого количества браузеров. Три основных компонента всех XS-Leaks – методы включения, техники утечки и очевидные различия. Создав модель на основе этих характеристик, исследователи обнаружили 34 атаки XS-Leaks, 14 из которых ранее не были известны.
Специалисты протестировали все выявленные ими атаки на 56 комбинациях браузеров и операционных систем с целью определить, насколько уязвимыми они являются. Они разработали специальное web-приложение под названием XSinator , позволяющее любому желающему проверить, насколько их браузеры и ОС уязвимы к каждой из 34 атак X-Leaks.
Снижение или устранение рисков, связанных с этими атаками, – задача разработчиков браузеров, считают исследователи. В частности, они предлагают запретить все сообщения обработчика событий, свести к минимуму количество сообщений об ошибках, применить ограничения глобального лимита и создать новое свойство истории при перенаправлении. Другие эффективные методы смягчения последствий – использование X-Frame-Options для предотвращения загрузки HTML-ресурсов элементами iframe и реализация заголовка CORP для контроля того, могут ли страницы встраивать ресурс.
«COIU, также известная как First-Party Isolation (FPI), является опциональной функцией безопасности, которую пользователи могут активировать в настройках Firefox (about:config) и которая изначально была представлена в Tor Browser», – сообщили исследователи.
В зависимости от сайта атаки XS-Leaks могут иметь весьма серьезные последствия. Пользователям рекомендуется работать с полностью обновленными браузерами и отключить сторонние cookie-файлы. Это обезопасит их от большинства атак XS-Leaks, даже если на сайте не используются новые методы защиты наподобие COOP, CORP, SameSite Cookies и пр.
Исследователи рассказали о своих находках разработчикам браузеров, которые в настоящее время работают над исправлением проблем.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
Meta* начнет использовать данные о действиях пользователей на сторонних сайтах и в приложениях для персонализации ленты, рекомендаций и ответов ИИ-ассистента.
