Un experto en seguridad ha descubierto un fallo de
seguridad que podría considerarse bastante grave. Permite el robo de las
cookies generadas durante la navegación del usuario y también el robo de las
contraseñas de acceso introducidas en los diferentes servicios a través de
Microsoft Edge.
La vulnerabilidad detectada afecta a
SOP (Same Origin Policy), una función del navegador web de los de Redmond que
impide que una página web ejecute scripts cargados en otra. El experto en
seguridad Manuel Caballero ha sido el encargado de descubrir el problema.
Disfruta del descubrimiento de varios fallos de seguridad importantes, tanto en
el actual navegador web como en el ya desterrado Internet Explorer.
El fallo de seguridad permite que un
atacante pueda ejecutar código de forma remota con la ayuda de URLs y los
parámetros, tags pertenecientes a metadatos o páginas web sin dominio, como por
ejemplo, about:blank.
Caballero ha logrado aprovecharse de
esta vulnerabilidad incluso en sitios web que a simple vista parecen bien
programados en lo que se refiere a materia de seguridad. Esto se consigue
invitando al usuario a acceder a URL maliciosas.
Por el momento , el fallo de seguridad
aún no ha sido resuelto por los de Redmond, permitiendo que los propios
usuarios puedan comprobar el funcionamiento de la vulnerabilidad.
La explotación de
este fallo de seguridad en Microsoft Edge podría automatizarse
- Aunque no parezca grave, la realidad es que el
ataque puede ofrecer bastante juego a los ciberdelincuentes, sobre todo
porque puede afectar a cualquier servicio. Ninguno está a salvo de este
fallo de seguridad si se utilizar Microsoft Edge. Facebook, Twitter,
Gmail, Amazon, … Cualquier servicio que imaginemos se puede ver
comprometido.
- El motivo por el que esta vulnerabilidad solo afecta
al navegador web de Microsoft se debe a que SOP es una particularidad de
este navegador web.
- Los ciberdelincuentes pueden introducir el código en
un anuncio en cualquier sitio web. Todos los servicios en los que tenga
abierta una sesión (aunque no esté en una ventana o pestaña) son
susceptibles de verse afectados por esta vulnerabilidad.
- Así de fácil, con un simple anuncios se puede llevar
a cabo el robo de las cookies de los diferentes servicios web. Pero
también las contraseñas de acceso a los mismos.
En las últimas semanas, desde
Microsoft ha presumido de rendimiento, pero parece que en materia de seguridad
continúan cometiendo los mismos errores que en el pasado. ¿Herencia de Internet
Explorer? Nunca se sabe, pero es posible, sobre todo después de reutilizar
parte del código de este.
Fuente: Bleeping Computer