Actualiza tu navegador web. Error de Google Chrome podrÃa permitir a los hackers evitar la protección de CSP

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 328 veces
CSP es el método principal utilizado por los propietarios de sitios web para prevenir la ejecución de scripts maliciosos
Si no has actualizado recientemente tu navegador web Chrome, Opera o Edge a la última versión disponible, serÃa una excelente idea hacerlo lo más rápido posible.
Investigadores de ciberseguridad revelaron el lunes detalles sobre una falla de dÃa cero en los navegadores web basados en Chromium para Windows, Mac y Android que podrÃa haber permitido a los atacantes eludir por completo las reglas de la PolÃtica de seguridad de contenido (CSP) desde Chrome 73.
Rastreado como CVE-2020-6519 (calificado 6.5 en la escala CVSS), el problema proviene de una omisión de CSP que da como resultado la ejecución arbitraria de código malicioso en los sitios web de destino.
Según PerimeterX, algunos de los sitios web más populares, incluidos Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger y Quora, eran susceptibles a la omisión de CSP.
Curiosamente, parece que Tencent Security Xuanwu Lab también destacó la misma falla hace más de un año, solo un mes después del lanzamiento de Chrome 73 en marzo de 2019, pero nunca se abordó hasta que PerimeterX informó el problema a principios de marzo.
Después de que se revelaran los hallazgos a Google, el equipo de Chrome emitió una solución para la vulnerabilidad en la actualización de Chrome 84 (versión 84.0.4147.89) que comenzó a implementarse el 14 de julio del mes pasado.
CSP es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross-Site Scripting (XSS) y ataques de inyección de datos. Con las reglas de CSP, un sitio web puede obligar al navegador de la vÃctima a realizar ciertas comprobaciones del lado del cliente con el objetivo de bloquear scripts especÃficos que están diseñados para explotar la confianza del navegador en el contenido recibido del servidor.
Dado que CSP es el método principal utilizado por los propietarios de sitios web para hacer cumplir las polÃticas de seguridad de datos y prevenir la ejecución de scripts maliciosos, una omisión de CSP puede poner en riesgo los datos del usuario de manera efectiva.
Esto se logra especificando los dominios que el navegador debe considerar como fuentes válidas de scripts ejecutables, de modo que un navegador compatible con CSP solo ejecute scripts cargados en archivos de origen recibidos de esos dominios permitidos, ignorando todos los demás.
La falla descubierta por Tencent y PerimeterX elude el CSP configurado para un sitio web simplemente pasando un código JavaScript malicioso en la propiedad "src" de un elemento iframe HTML.
Vale la pena señalar que sitios web como Twitter, Github, LinkedIn, Google Play Store, la página de inicio de sesión de Yahoo, PayPal y Yandex no se encontraron vulnerables ya que las polÃticas de CSP se implementaron utilizando un nonce o hash para permitir la ejecución de scripts en lÃnea.
"Tener una vulnerabilidad en el mecanismo de ejecución de CSP de Chrome no significa directamente que los sitios sean violados, ya que los atacantes también deben administrar para obtener el script malicioso llamado desde el sitio (por lo que la vulnerabilidad se clasificó como de gravedad media)", señaló Gal Weizman de PerimeterX.
Si bien se desconocen las implicaciones de la vulnerabilidad, los usuarios deben actualizar sus navegadores a la última versión para protegerse contra la ejecución de dicho código. A los propietarios de sitios web, por su parte, se les recomienda que utilicen las capacidades nonce y hash de CSP para mayor seguridad.
Además de esto, la última actualización de Chrome 84.0.4147.125 para sistemas Windows, Mac y Linux también corrige otras 15 vulnerabilidades de seguridad, 12 de las cuales están calificadas como "altas" y dos "bajas" en gravedad.
ArtÃculos relacionados (por etiqueta)
- Amnesia:33 - Fallas crÃticas de TCP/IP afectan a millones de dispositivos IoT
- Nuevo ataque de DÃa cero activo en Google Chrome - Actualiza ahora tu navegador
- Google advierte sobre fallas de Zero-click en dispositivos Bluetooth basados en Linux
- Microsoft revela nuevas formas inocentes en que los usuarios de Windows pueden ser pirateados
- Una falla de TeamViewer podrÃa permitir a los hackers robar la contraseña del sistema de forma remota
- Investigadores revelan una nueva falla de seguridad que afecta a los drones DJI de China
Lo último de Jesús Cáceres
- El plan de Twitter para descentralizar las redes sociales
- Google rediseña la búsqueda móvil en Android e iOS para que sea más fácil de leer
- Compartir un eBook con tu Kindle podrÃa haber permitido a los hackers secuestrar tu cuenta
- Asà es como los piratas informáticos de SolarWinds permanecieron sin ser detectados durante el tiempo suficiente
- Ataque de botnet en curso aprovecha las vulnerabilidades recientes de Linux
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta