La vulnerabilidad descubierta por
Michal Bentkowski fue reportada a finales de Mayo.
Sin dar a conocer ningun detalle
técnico, el equipo de seguridad de Chrome ha descrito el problema como un
manejo incorrecto del encabezado CSP (CVE-2018-6148) en su blog.
Para quien no lo conozca, el
encabezado de la Política de Seguridad de Contenido (CSP) permite a los
administradores de sitios web añadir una capa adicional de seguridad al
permitirles controlar los recursos que el navegador puede cargar.
El manejo incorrecto de estos
encabezados por el navegador web podría volver a habilitar vulnerabilidades de
tipo XSS, Clickjacking o de inyección de código en varias webs que securizaran
su sitio con este encabezado.
Recomendación
El parche para esta vulnerabilidad ya
ha sido lanzado, por lo que todos los usuarios deben de asegurarse que su
sistema está ejecutando la última version actualizada del navegador Chrome.
Más
información:
·
Perfil
de Twitter de Michal Bentkowski: https://twitter.com/securitymb
·
Vulnerabilidad
en el blog de Google: https://chromereleases.googleblog.com/2018/06/stable-channel-update-for-desktop.html
·
Artículo
de Google sobre CSP: https://developers.google.com/web/fundamentals/security/csp/?hl=es
Fuente: Hispasec.com