Site Loader


Sin Nombre

Que el navegador es una de las herramientas de software más utilizadas diariamente por miles de usuarios es una realidad innegable sobradamente conocida por la mayoría. Un panorama en el que, si bien contamos con múltiples opciones, Google Chrome y Mozilla Firefox cuentan con la mayor parte del pastel.

Y precisamente es de ambos de los que nos vemos obligados a hablar hoy –y no precisamente por sus cuotas de adopción como en anteriores ocasiones- sino con motivo de una vulnerabilidad que permitiría suplantar URLs en estos navegadores. Pero, ¿en qué consiste exactamente?

En qué consiste el fallo

Así, la vulnerabilidad ha sido detectada por el investigador de seguridad Rafay Baloch que, en su blog Rafayhackingarticles ha explicado cómo opera el fallo detalladamente. Un funcionamiento muy sencillo que aprovecha un simple truco para saltarse la capa de seguridad de los citados browsers y poder suplantar una dirección aparentemente válida, por otra falsa.

En concreto, el quid de la cuestión radica en la manera en la que los navegadores gestionan las URLs que mezclan los formatos RTL (árabe) y LTR (romano). Según apunta Balock, tanto Firefox como Chrome podrían llegar a confundirse con ellos –o sea, con el orden-. Por ejemplo y para que te hagas una idea, en este último, la dirección 158.10.230.11/ا/http://google.com, la convertiría en http://google.com/‭ا/158.10.230.11.

Un bug que, de manera sencilla, podría convertirse en un arma. Es decir, los ciberdelincuentes, entre otros, tendrían la opción de generlar una URL al estilo google.com/fakepath/fakepath/fakepath / … /127.0.0.1 – que de a entender al usuario que está en un dominio de Google cuando, realmente, está accediendo a otro lugar totalmente distinto que puede comprometer su seguridad.

Para acabar, parece que el problema ya ha sido solucionado –al menos en las versiones más recientes de estos navegadores- gracias a la colaboración del citado investigador. Una detección y un informe –la vulnerabilidad se ha registrado con el código CVE-2016-5367- que le han valido la recompensa de la cifra nada desdeñable de 5.000 dólares por parte del programa de Bug Bounty de Google.

Vía | Softpedia y Rafayhackingarticles

También te recomendamos


Google bloquea Kickass Torrent, y Chrome y Firefox lo consideran 'un sitio web engañoso'


¿Por qué el heavy funciona para los shooters y la zarzuela no?


Mozilla cierra el 2015 con buenas intenciones, pero sin conseguir detener la pérdida de usuarios de Firefox


La noticia

Detectan una vulnerabilidad en Chrome y Firefox que permite suplantar URLs

fue publicada originalmente en

Genbeta

por
Águeda A.Llorca

.





Source link

Post Author: cHALo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *