Google, LLC
Jake Archibald, desarrollador defensor de Google Chrome, ha descubierto una vulnerabilidad bastante grave en la tecnología de navegación web moderna que podría permitir que los sitios roben datos de inicio de sesión, así como otra información confidencial. Teóricamente, los exploits podrían robar información relacionada con otros sitios en los que ha iniciado sesión pero que actualmente no está intentando acceder.
Los atacantes remotos podrían hipotéticamente incluso usar esta vulnerabilidad para leer el contenido del correo electrónico al que accede desde una interfaz web o publicaciones privadas que se le envían en sitios de redes sociales.
La tecnología de solicitud de origen cruzado proporciona el núcleo sobre el que se podría construir la vulnerabilidad en teoría. Los navegadores modernos no permiten que los sitios realicen solicitudes de origen cruzado porque los ingenieros modernos creen que hay pocas razones legítimas para que un sitio busque información proporcionada por otro.
Los navegadores web no son tan particulares cuando se trata de buscar otros tipos de archivos multimedia alojados en orígenes externos, ya que este tipo de solicitud es necesariamente para cargar audio y video en tiempo real.
Generalmente, el código del sitio puede cargar archivos de audio y video de otro dominio sin que el navegador muestre un error de solicitud no autorizada. Los navegadores también pueden admitir algunos tipos de encabezado de rango y respuestas de carga de contenido parcial, que se supone que deben entregar pequeñas piezas de un medio de transmisión más grande.
Microsoft Edge, Mozilla Firefox y otros navegadores modernos podrían ser engañados para que carguen solicitudes irregulares usando este método según la investigación de Archibald. Se ha demostrado que estos navegadores permiten realizar copias de prueba de datos opacos de múltiples fuentes hasta un usuario final.
Actualmente no se conocen casos de crackers que utilicen este vector de ataque. Wavethrough, como lo llama Archibald, ya se ha corregido en Chrome y Safari sin intentarlo a propósito. Dijo que deseaba que este tipo de función de seguridad se hubiera escrito como un estándar de navegación para que todos los navegadores modernos fueran inmunes a la vulnerabilidad.
Si bien no ha habido noticias sobre la respuesta de Microsoft o Mozilla al error, no es difícil creer que los parches se lanzarán con la próxima actualización importante de ambos navegadores. Los ingenieros también pueden algún día presionar para que este diseño sea estándar, como deseaba Archibald.
Etiquetas Google Chrome seguridad web
