2024 Autor: Kayla Nelson | [email protected]. Última modificación: 2023-12-17 01:27
Jake Archibald, desarrollador defensor de Google Chrome, ha descubierto una vulnerabilidad bastante grave en la tecnología de navegación web moderna que podría permitir que los sitios roben datos de inicio de sesión, así como otra información confidencial. En teoría, los exploits podrían robar información relacionada con otros sitios en los que haya iniciado sesión pero que actualmente no está intentando acceder.
Los atacantes remotos podrían hipotéticamente incluso usar esta vulnerabilidad para leer el contenido del correo electrónico al que accede desde la interfaz web o las publicaciones privadas que se le envían en los sitios de redes sociales.
La tecnología de solicitud de origen cruzado proporciona el núcleo sobre el que se podría construir la vulnerabilidad en teoría. Los navegadores modernos no permiten que los sitios realicen solicitudes de origen cruzado porque los ingenieros modernos creen que existen pocas razones legítimas para que un sitio busque información proporcionada por otro.
Los navegadores web no son tan particulares cuando se trata de buscar otros tipos de archivos médicos alojados en orígenes externos, ya que este tipo de solicitud es necesariamente para cargar audio y video en tiempo real.
El código del sitio generalmente puede cargar archivos de audio y video de otro dominio sin que el navegador muestre un error de solicitud no autorizada. Los navegadores también pueden admitir algunos tipos de encabezado de rango y respuestas de carga de contenido parcial, que se supone que deben entregar pequeñas piezas de medios de transmisión más grandes.
Microsoft Edge, MozillFirefox y otros navegadores modernos podrían ser engañados para que carguen solicitudes irregulares utilizando este método, según la investigación de Archibald. Se ha demostrado que estos navegadores permiten realizar copias de prueba de datos opacos desde múltiples fuentes hasta un usuario final.
Actualmente no se conocen casos de crackers que utilicen este vector de ataque. Wavethrough, como lo llama Archibald, ya se ha corregido en Chrome y Safari sin intentarlo a propósito. Dijo que deseaba que este tipo de característica de seguridad se hubiera escrito como estándar de navegación para que todos los navegadores modernos fueran inmunes a la vulnerabilidad.
Si bien no ha habido noticias sobre Microsoft o Mozill en respuesta al error, no es difícil creer que los parches se lanzarán con la próxima actualización importante de ambos navegadores. Los ingenieros también pueden algún día presionar para que este diseño sea estándar, como deseaba Archibald.
Recomendado:
DJI Corrige Una Vulnerabilidad Masiva En Las Cuentas De Usuario Que Podría Haber Permitido A Los Piratas Informáticos Tomar El Control De Su Dron Y Robar Información Personal
Los drones DJI son la tendencia candente del siglo XXI. Sin embargo, por muy funcionales y bien construidos que sean, algunas vulnerabilidades en ellos podrían representar una seria amenaza para
El Proyecto De Ley Del Senado De Los EE. UU. Toma Medidas Enérgicas Contra Las Llamadas Automáticas, Los Infractores Enfrentan Hasta $ 10,000 En Multas
Los senadores estadounidenses John Thune y Ed Markey presentaron un proyecto de ley este viernes que toma medidas enérgicas contra las llamadas automáticas de spam ilegales. Llamadas ilegales de telemarketing automatizadas
Los Programadores Y Programadores De Software Están Siendo Objeto De Ataques De Phishing Para Espionaje Y Ransomware
Los creadores de ransomware, malware y otros virus, así como los ciberdelincuentes patrocinados por el estado, han mostrado cada vez más un alto nivel de enfoque hacia los grandes
China Toma Medidas Enérgicas Contra La "recopilación Excesiva De Datos" A Través De Aplicaciones De Teléfonos Inteligentes En Medio De Protocolos Y Prácticas Cada Vez Más Invasivos
China ha publicado un nuevo conjunto de regulaciones estrictas que tienen como objetivo frenar las prácticas de recopilación de datos cada vez más invasivas. El conjunto de reglas y
Valve Comienza A Tomar Medidas Enérgicas Contra Los Explotadores De Precios Regionales De Steam, Ahora Requiere La Compra A Través Del Método De Pago Local
Steam, el escaparate digital en línea, permite a sus usuarios de todo el mundo cambiar la moneda de la tienda por la de su moneda local. Hacerlo permite a los usuarios