Vulnerabilidad en Google Chrome expone a billones de usuarios al robo de sus datos

Recientemente un grupo de investigadores en ciberseguridad han revelado una vulnerabilidad en el navegador basado en Chromium de Google (Google Chrome), que permite a un atacante saltarse las políticas de seguridad de contenido (CSP) en los sitios web, con el fin de robar datos y ejecutar código malicioso. CSP es un estándar web destinado a frustrar ciertos tipos de ataques, incluyendo ataques de cross-site scripting (XSS) y de inyección de datos. CSP permite a los administradores web especificar los dominios que un navegador puede considerar para fuentes confiables y válidas de scripts ejecutables, lo que significa que el navegador web compatible con CSP solo ejecutará scripts cargados en archivos de origen recibidos de los dominios que agregó el administrador web.

La vulnerabilidad (CVE-2020-6519) se encuentra en los navegadores Chrome, Opera y Edge, en los sistemas Windows, Mac y Android, lo que significa que afecta a billones de usuarios según los expertos. También agregan que CSP, es el principal método utilizado por los propietarios de un sitio web, para reforzar las políticas de seguridad de datos, con el fin de prevenir la ejecución de código oculto en su sitio web, lo que significa que al ser explotada la vulnerabilidad permite robar los datos personales del usuario que navegue en el sitio web, cuando se salta este control de seguridad.

En el reporte los expertos destacan que la mayoría de sitios web utilizan CSP, incluyendo gigantes del Internet como ESPN, Facebook, Gmail, Instagram, TikTok, Whatsapp, Wells Fargo y Zoom. Aunque también mencionaron otros que no se vieron afectados por la vulnerabilidad, como GitHub, Google Play Store, LinkedIn, PayPal, Twitter, la página de inicio de sesión de Yahoo y Yandex.

Según uno de los investigadores, para explotar esta vulnerabilidad, un atacante primero necesita obtener acceso al sitio web del servidor (a través de fuerza bruta o cualquier otro método), para poder modificar el código JavaScript del sitio web. Si el atacante obtiene esta capacidad, puede agregar una directiva “frame-src” o “child-src” en el JavaScript para permitir que el código inyectado se cargue y ejecute, saltando la aplicación de las CSP y las políticas del sitio web.

Aunque se le asignó un rango de severidad medio (6.5 en la escala CvSS) por la necesidad de pasar por la capa de seguridad de autenticación, para los investigadores esta falla tiene una gran cantidad de implicaciones, debido que CSP son como los cinturones de seguridad, bolsas de aire y sensores de choque en un vehículo, si alguno de estos elementos falla durante un incidente el daño puede ser mayor de lo que se piensa.

La vulnerabilidad estuvo presente en los navegadores Google Chrome por más de un año antes de ser reparada, desde su versión 73 lanzada en marzo del 2019 hasta la versión 83 y su corrección está disponible a partir de la versión 84 lanzada durante el mes de Julio. Se recomienda encarecidamente a todos los usuarios actualizar sus navegadores a la última versión disponible. Para actualizar ingresen a “Personaliza y controla Google Chrome” (los tres puntos verticales en la parte superior derecha), seguido de “Ayuda” y finalmente “Acerca de Google Chrome”



Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Vulnerabilidad en Google Chrome expone a billones de usuarios al robo de sus datos
Vulnerabilidad en Google Chrome expone a billones de usuarios al robo de sus datos
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigebpv-R2hGJ27VPZjOh0ype0uHfYsLp_SluhHtQMyuJbTAr9kgBGcidhafTG3HEURFlwdYxIA9ZJ9S3yeI9RpEz1Jb5hu1jQIN239oUKCsuq7_26j6yfK7DGlppqV3V3_Md4fLE6G1Is/s0/Google+Vulnerability+steal+data.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigebpv-R2hGJ27VPZjOh0ype0uHfYsLp_SluhHtQMyuJbTAr9kgBGcidhafTG3HEURFlwdYxIA9ZJ9S3yeI9RpEz1Jb5hu1jQIN239oUKCsuq7_26j6yfK7DGlppqV3V3_Md4fLE6G1Is/s72-c/Google+Vulnerability+steal+data.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/08/vulnerabilidad-en-google-chrome-expone.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/08/vulnerabilidad-en-google-chrome-expone.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy