Microsoft ha solucionado una
vulnerabilidad presente en su navegador Edge a través de la cual un actor
malicioso podía acceder a información sensible de un usuario al sustituir la
dirección web a la que se quiere acceder por otra mediante el secuestro de la
barra de URL.
El investigador de ciberseguridad
Rafay Baloch ha recogido el problema en una publicación en su blog, tras
descubrir la vulnerabilidad por primera vez en un estudio realizado hace un
año. Microsoft ya ha solucionado distribuido un parche de seguridad para su
navegador Edge que soluciona el fallo, también presente en Safari y por el
momento aún activo.
La vulnerabilidad, bautizada como
'Cargar y sobreescribir las condiciones de funcionamiento', permite 'burlar' la
dirección URL a la que un usuario quería acceder. Para ello, a través de la
función setInterval integrada dentro del lenguaje de programación JavaScript,
utilizado en la creación de páginas web, es posible controlar los tiempos de
recarga de una página.
Al utilizar esta función se induce a
que la página retrase la carga, algo que durante este proceso un actor malicioso
puede aprovechar para cambiar la dirección integrada en la barra URL por otra
diferente antes de que el sitio web termine de cargar.
Si esto se produce, el usuario es
redireccionado a la página mientras que la barra de direcciones muestra la URL
a la que se quería acceder, así como su contenido. Mientras tanto, la
información sensible que la página albergue acabará a disposición del ladrón de
datos por medio de un sitio externo inexistente, el cual se correspondería a la
página con la que se sustituyó la dirección web.
Este problema afectaba tanto a
Microsoft Edge como a Safari, el navegador del sistema operativo iOS. El
investigador informó de la vulnerabilidad a ambas compañías el pasado 2 de
junio. Microsoft lo solucionó con la actualización de seguridad lanzada el 14
de agosto, mientras que Apple no había reaccionado al aviso por el momento a
fecha de este lunes.
Fuente: Europa Press