Aunque Apple y Google buscaron urgentemente corregir fallas de seguridad en los navegadores Safari (CVE-2017-2419) y Chrome (CVE-2017-5033), Microsoft no se dio cuenta. Esta vulnerabilidad de seguridad fue descubierta por investigadores de Cisco Talos en los navegadores Safari, Chrome y Edge, pero Microsoft cree que esta seguridad se debe al diseño.
Según el investigador Nicolai Grødum de Cisco Talos, esta vulnerabilidad se clasifica como una salida CSP (Política de seguridad de contenido), un mecanismo que permite a los desarrolladores web configurar encabezados HTTP e indicar a los usuarios que accedan al navegador de origen ( JavaScript, CSS). La política de seguridad de contenido (CSP) es una de las herramientas que utilizan los navegadores para implementar SOP – Política de la misma fuente en el navegador.
Grødum dijo que descubrió cómo un atacante que pasó por alto el CSP, descargó código JavaScript malicioso en un sitio web remoto y realizó operaciones de intrusión, como recopilar información de cookies del usuario o registrar la sintaxis presionando la tecla en la estructura de la página.
Explotar vulnerabilidades es bastante simple
Aprovechar esta vulnerabilidad en el navegador es bastante simple, al menos para aquellos con experiencia en desarrollo web. Un atacante solo necesitaría abrir un nuevo sitio web a través del ‘_en blanco’ método y utilizar el document.write función para escribir código malicioso dentro de esta página antes de descargar el contenido real. El contenido malicioso (también conocido como el código de ataque XSS inicial) permanece y ayuda a los atacantes a superar la protección de CSP.
Grødum descubrió la vulnerabilidad en noviembre del año pasado. Este problema se clasifica como CVSS de gravedad 4.3 / 10.
Los usuarios del navegador Edge son fácilmente vulnerables a esta vulnerabilidad, mientras que los usuarios de Google Chrome 57.0.2987.98, iOS 10.3 y Safari 10.1 o posterior están protegidos. Y Firefox tiene suerte de no verse afectado.
fallas de seguridad vulnerabilidades del navegador Edge Chrome Safari
Aunque Apple y Google buscaron urgentemente corregir fallas de seguridad en los navegadores Safari (CVE-2017-2419) y Chrome (CVE-2017-5033), Microsoft no se dio cuenta. Esta vulnerabilidad de seguridad fue descubierta por investigadores de Cisco Talos en los navegadores Safari, Chrome y Edge, pero Microsoft cree que esta seguridad se debe al diseño.
Según el investigador Nicolai Grødum de Cisco Talos, esta vulnerabilidad se clasifica como una salida de CSP (Política de seguridad de contenido), un mecanismo que permite a los desarrolladores web configurar encabezados HTTP e indicar a los usuarios que accedan al navegador de origen ( JavaScript, CSS). La política de seguridad de contenido (CSP) es una de las herramientas que utilizan los navegadores para implementar SOP – Política de la misma fuente en el navegador.
Grødum dijo que descubrió cómo un atacante que pasó por alto el CSP, descargó código JavaScript malicioso en un sitio web remoto y realizó operaciones de intrusión, como recopilar información de cookies del usuario o grabar la sintaxis presionando la tecla en la estructura de la página.
Explotar vulnerabilidades es bastante simple
Aprovechar esta vulnerabilidad en el navegador es bastante simple, al menos para aquellos con experiencia en desarrollo web. Un atacante solo necesitaría abrir un nuevo sitio web a través del ‘_en blanco’ método y utilizar el document.write función para escribir código malicioso dentro de esta página antes de descargar el contenido real. El contenido malicioso (también conocido como el código de ataque XSS inicial) permanece y ayuda a los atacantes a superar la protección CSP.
Grødum descubrió la vulnerabilidad en noviembre del año pasado. Este problema se clasifica como gravedad CVSS es 4.3 / 10.
Los usuarios del navegador Edge son fácilmente vulnerables a esta vulnerabilidad, mientras que los usuarios de Google Chrome 57.0.2987.98, iOS 10.3 y Safari 10.1 o posterior están protegidos. Y Firefox tiene suerte de no verse afectado.