Logo es.nowadaytechnol.com

El Desarrollador De Google Chrome Insta A Los Programadores A Tomar Medidas Contra La Vulnerabilidad Wavethrough

El Desarrollador De Google Chrome Insta A Los Programadores A Tomar Medidas Contra La Vulnerabilidad Wavethrough
El Desarrollador De Google Chrome Insta A Los Programadores A Tomar Medidas Contra La Vulnerabilidad Wavethrough
Anonim
Image
Image

Jake Archibald, desarrollador defensor de Google Chrome, ha descubierto una vulnerabilidad bastante grave en la tecnología de navegación web moderna que podría permitir que los sitios roben datos de inicio de sesión, así como otra información confidencial. En teoría, los exploits podrían robar información relacionada con otros sitios en los que haya iniciado sesión pero que actualmente no está intentando acceder.

Los atacantes remotos podrían hipotéticamente incluso usar esta vulnerabilidad para leer el contenido del correo electrónico al que accede desde la interfaz web o las publicaciones privadas que se le envían en los sitios de redes sociales.

La tecnología de solicitud de origen cruzado proporciona el núcleo sobre el que se podría construir la vulnerabilidad en teoría. Los navegadores modernos no permiten que los sitios realicen solicitudes de origen cruzado porque los ingenieros modernos creen que existen pocas razones legítimas para que un sitio busque información proporcionada por otro.

Los navegadores web no son tan particulares cuando se trata de buscar otros tipos de archivos médicos alojados en orígenes externos, ya que este tipo de solicitud es necesariamente para cargar audio y video en tiempo real.

El código del sitio generalmente puede cargar archivos de audio y video de otro dominio sin que el navegador muestre un error de solicitud no autorizada. Los navegadores también pueden admitir algunos tipos de encabezado de rango y respuestas de carga de contenido parcial, que se supone que deben entregar pequeñas piezas de medios de transmisión más grandes.

Microsoft Edge, MozillFirefox y otros navegadores modernos podrían ser engañados para que carguen solicitudes irregulares utilizando este método, según la investigación de Archibald. Se ha demostrado que estos navegadores permiten realizar copias de prueba de datos opacos desde múltiples fuentes hasta un usuario final.

Actualmente no se conocen casos de crackers que utilicen este vector de ataque. Wavethrough, como lo llama Archibald, ya se ha corregido en Chrome y Safari sin intentarlo a propósito. Dijo que deseaba que este tipo de característica de seguridad se hubiera escrito como estándar de navegación para que todos los navegadores modernos fueran inmunes a la vulnerabilidad.

Si bien no ha habido noticias sobre Microsoft o Mozill en respuesta al error, no es difícil creer que los parches se lanzarán con la próxima actualización importante de ambos navegadores. Los ingenieros también pueden algún día presionar para que este diseño sea estándar, como deseaba Archibald.

Recomendado: