Si no ha actualizado recientemente su navegador web Chrome, Opera o Edge a la última versión disponible, sería una excelente idea hacerlo lo más rápido posible.
Los investigadores de ciberseguridad revelaron el lunes detalles sobre una falla de día cero en los navegadores web basados en Chromium para Windows, Mac y Android que podría haber permitido a los atacantes eludir por completo las reglas de la Política de seguridad de contenido (CSP) desde Chrome 73.
Registrado como CVE-2020-6519 (con una calificación de 6,5 en la escala CVSS), el problema se deriva de una omisión de CSP que da como resultado la ejecución arbitraria de código malicioso en los sitios web de destino.
Según PerimeterX, algunos de los sitios web más populares, incluidos Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger y Quora, eran susceptibles a la omisión de CSP.
Curiosamente, parece que Tencent Security Xuanwu Lab también destacó la misma falla hace más de un año, solo un mes después del lanzamiento de Chrome 73 en marzo de 2019, pero nunca se abordó hasta que PerimeterX informó el problema a principios de marzo.
Después de que se divulgaron los hallazgos a Google, el equipo de Chrome corrigió la vulnerabilidad en la actualización de Chrome 84 (versión 84.0.4147.89) que comenzó a implementarse el 14 de julio del mes pasado.
CSP es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross-Site Scripting (XSS) y ataques de inyección de datos. Con las reglas de CSP, un sitio web puede obligar al navegador de la víctima a realizar ciertas comprobaciones del lado del cliente con el objetivo de bloquear secuencias de comandos específicas que están diseñadas para explotar la confianza del navegador en el contenido recibido del servidor.
Dado que CSP es el método principal utilizado por los propietarios de sitios web para hacer cumplir las políticas de seguridad de datos y evitar la ejecución de scripts maliciosos, una omisión de CSP puede poner en riesgo los datos de los usuarios.
Esto se logra especificando los dominios que el navegador debe considerar como fuentes válidas de secuencias de comandos ejecutables, de modo que un navegador compatible con CSP solo ejecute secuencias de comandos cargadas en archivos fuente recibidos de esos dominios incluidos en la lista de permitidos, ignorando todos los demás.
La falla descubierta por Tencent y PerimeterX elude el CSP configurado para un sitio web simplemente pasando un código JavaScript malicioso en la propiedad «src» de un elemento iframe HTML.
Vale la pena señalar que los sitios web como Twitter, Github, LinkedIn, Google Play Store, la página de inicio de sesión de Yahoo, PayPal y Yandex no se encontraron vulnerables ya que las políticas de CSP se implementaron utilizando un nonce o hash para permitir la ejecución de scripts en línea.
«Tener una vulnerabilidad en el mecanismo de aplicación de CSP de Chrome no significa directamente que los sitios estén violados, ya que los atacantes también deben lograr que se llame al script malicioso desde el sitio (razón por la cual la vulnerabilidad se clasificó como de gravedad media)», dijo PerimeterX. señaló Gal Weizman.
Si bien se desconocen las implicaciones de la vulnerabilidad, los usuarios deben actualizar sus navegadores a la última versión para protegerse contra la ejecución de dicho código. Se recomienda a los propietarios de sitios web, por su parte, que utilicen las capacidades nonce y hash de CSP para mayor seguridad.
Además de esto, la última actualización de Chrome 84.0.4147.125 para sistemas Windows, Mac y Linux también corrige otras 15 vulnerabilidades de seguridad, 12 de las cuales están clasificadas como «altas» y dos como «bajas» en gravedad.