Menú

Vulnerabilidades de Edge y Firefox, Actualiza ya tu navegador!

Esta vulnerabilidad permiten que roben información de los sitios que visiten , como cuentas que se haya abierto en estos navegadores , como gmail o facebook.

esta vulnerabilidad fue descubierta por el desarrollador Jake Archibald, quien asegura que encontró este bug por accidente al que le puso el nombre de “WaveThrough”. El error, existente en algunos navegadores web modernos, como Mozilla Firefox y Microsoft Edge, ya fue reportado y las empresas lanzaron parches para corregir el error que están disponibles en la última actualización. Por lo tanto, recomendamos a los usuarios que actualicen sus navegadores para estar seguros que se encuentran protegidos ante cualquier amenaza que intente explotar esta vulnerabilidad.

Según publicó Hacker News, el error radica en la forma en que el navegador maneja las solicitudes de origen cruzado para archivos de video y audio. En caso de ser explotada la vulnerabilidad podría permitir que un atacante lea, de manera remota, tus correos o información sobre tu actividad en Facebook.

Para que se entienda mejor, por seguridad un navegador no permite que un sitio web realice solicitudes de origen cruzado a un dominio diferente, salvo que un dominio lo permita de manera explícita. Por lo tanto, cuando un usuario visita un sitio web, el navegador solamente puede solicitar datos del mismo origen desde el que se cargó el sitio; evitando que realice una solicitud no autorizada en un intento de robar datos de otros sitios en su nombre. Pero al momento de buscar archivos multimedia alojados en otros orígenes, los navegadores no operan de la misma manera y permiten que un sitio web que visitamos cargue archivos de audio y/o video de diferentes dominios sin ningún tipo de restricción.

Cuando un navegador realiza una petición, solicita la totalidad de los recursos. Sin embargo, el sitio define mediante el range header qué parte del contenido ofrece, permitiendo que un sitio web pueda utilizar solo una parte de un archivo multimedia más grande a modo de resumen.

Para que se entienda, los archivos multimedia tienen la capacidad de unir piezas provenientes de múltiples respuestas y tratarlas como un único recurso.

En este sentido, según explica Archibald, Firefox y Edge permiten que elementos multimedia mezclen juntos datos visibles y opacos de múltiples fuentes dejando abierta la posibilidad de que un atacante se aproveche de esto.

Según publica Hacker News, para Archibald esta vulnerabilidad puede ser explotada por un sitio web malicioso mediante el uso de un archivo multimedia embebido en su página, que al ser reproducido, solo ofrece contenido parcial de su propio servidor y solicita al navegador buscar el resto del archivo en un origen diferente, obligando al navegador a realizar solicitudes de origen cruzado con otro dominio.

De esta manera, la segunda solicitud, que al ser de origen cruzado debería estar restringida, se realizará de manera exitosa al permitir la visibilidad de datos visibles y opacos para un archivo multimedia, lo cual permitiría que un sitio robe información de otro.

Navegadores como Chrome y Safari rechazan tales solicitudes de origen cruzado. En el caso de Firefox y Edge la vulnerabilidad ya fue reparada con un parche disponible en la última actualización, luego de que Archibald informara a las empresas acerca de su hallazgo. Por lo tanto, si eres usuario de Mozilla Firefox o Microsoft Edge, asegúrate de actualizar tu navegador e instalar la última versión.

Así reaccionan Mozilla y Microsoft ante un fallo de seguridad en Firefox y Edge

El Descubridor ha dejado en  claro que Firefox manejó la situación brillantemente, ya que en menos de tres horas el bug ya había sido confirmado, y al mismo tiempo Mozilla había buscado otras posibles vulnerabilidades similares. Sin embargo, mientras que los ingenieros de Mozilla buscaron una solución al problema de manera casi inmediata, en cuanto a Microsoft, la historia fue muy diferente.

Se comunicó el error del mismo modo que a los responsables de Firefox, pero en este caso al equipo de seguridad de la firma de Redmond, pero esto tuvo que pasar por varios filtros para que el problema fuese tomado en serio, después pasaron hasta 20 días sin ninguna respuesta al respecto. Tras algunas persecuciones por parte del propio Archibald, el equipo de seguridad de Microsoft informó que estaban desarrollando una solución, pero no dio más detalle.

En resumidas cuentas, el experto de seguridad de Google detectó que el proceso por parte de Microsoft pareció más una especie de juicio, por lo que señala que la firma con sede en Redmond debería aprender en este caso del modo de funcionar de Mozilla con Firefox. Y es que problemas de seguridad como esta, apunta, ponen a los usuarios en un gran riesgo, por lo que necesitan asegurarse de que reportar estas cosas no sea más difícil de lo que debería.