Recientemente un grupo de investigadores en ciberseguridad han revelado una vulnerabilidad en el navegador basado en Chromium de Google (Google Chrome), que permite a un atacante saltarse las políticas de seguridad de contenido (CSP) en los sitios web, con el fin de robar datos y ejecutar código malicioso. CSP es un estándar web destinado a frustrar ciertos tipos de ataques, incluyendo ataques de cross-site scripting (XSS) y de inyección de datos. CSP permite a los administradores web especificar los dominios que un navegador puede considerar para fuentes confiables y válidas de scripts ejecutables, lo que significa que el navegador web compatible con CSP solo ejecutará scripts cargados en archivos de origen recibidos de los dominios que agregó el administrador web.
La vulnerabilidad (CVE-2020-6519) se encuentra en los navegadores Chrome, Opera y Edge, en los sistemas Windows, Mac y Android, lo que significa que afecta a billones de usuarios según los expertos. También agregan que CSP, es el principal método utilizado por los propietarios de un sitio web, para reforzar las políticas de seguridad de datos, con el fin de prevenir la ejecución de código oculto en su sitio web, lo que significa que al ser explotada la vulnerabilidad permite robar los datos personales del usuario que navegue en el sitio web, cuando se salta este control de seguridad.
En el reporte los expertos destacan que la mayoría de sitios web utilizan CSP, incluyendo gigantes del Internet como ESPN, Facebook, Gmail, Instagram, TikTok, Whatsapp, Wells Fargo y Zoom. Aunque también mencionaron otros que no se vieron afectados por la vulnerabilidad, como GitHub, Google Play Store, LinkedIn, PayPal, Twitter, la página de inicio de sesión de Yahoo y Yandex.
Según uno de los investigadores, para explotar esta vulnerabilidad, un atacante primero necesita obtener acceso al sitio web del servidor (a través de fuerza bruta o cualquier otro método), para poder modificar el código JavaScript del sitio web. Si el atacante obtiene esta capacidad, puede agregar una directiva “frame-src” o “child-src” en el JavaScript para permitir que el código inyectado se cargue y ejecute, saltando la aplicación de las CSP y las políticas del sitio web.
Aunque se le asignó un rango de severidad medio (6.5 en la escala CvSS) por la necesidad de pasar por la capa de seguridad de autenticación, para los investigadores esta falla tiene una gran cantidad de implicaciones, debido que CSP son como los cinturones de seguridad, bolsas de aire y sensores de choque en un vehículo, si alguno de estos elementos falla durante un incidente el daño puede ser mayor de lo que se piensa.
La vulnerabilidad estuvo presente en los navegadores Google Chrome por más de un año antes de ser reparada, desde su versión 73 lanzada en marzo del 2019 hasta la versión 83 y su corrección está disponible a partir de la versión 84 lanzada durante el mes de Julio. Se recomienda encarecidamente a todos los usuarios actualizar sus navegadores a la última versión disponible. Para actualizar ingresen a “Personaliza y controla Google Chrome” (los tres puntos verticales en la parte superior derecha), seguido de “Ayuda” y finalmente “Acerca de Google Chrome”
COMENTARIOS