Error de Microsoft Edge podría ser explotado para enviar sus correos electrónicos a sitios web maliciosos

Después de haber emitido un parche para la falla, se recomienda a los usuarios asegurarse de que estén usando la versión más reciente del navegador.

Según reportes de expertos en cursos de seguridad informática del Instituto Internacional de Seguridad Cibernética, un desarrollador de Google ha descubierto una grave vulnerabilidad que afecta al navegador Microsoft Edge y, en menor medida, a Mozilla Firefox, y que podría proporcionar a un atacante acceso a la información privada de la víctima.

“Es un bug enorme, significa que podrías visitar mi sitio en Edge, y yo podría leer tus correos electrónicos, o tener acceso a tu cuenta Facebook, todo sin que lo supieras”, escribió Jake Archibald”, quien encontró el agujero de seguridad de manera circunstancial.

Si se explota, la vulnerabilidad, etiquetada como CVE-2018-8235, podría permitir a un atacante remoto recuperar contenido de otras pestañas dentro del navegador de la víctima. Esto incluye sitios que requieren que los usuarios se autentiquen a sí mismos.

De los cuatro buscadores principales, bug afectó principalmente a Microsoft Edge. Habiendo sido alertados sobre el error, desde Microsoft se lanzó un parche en su actualización de junio de 2018. En cuanto a Firefox, solo las versiones beta se vieron afectadas, y Mozilla se apresuró a corregir el error antes de que pudiera afectar a los usuarios de la versión actual de Firefox; en tanto que Safari y Chrome no se vieron afectados.

La falla tiene que ver con la manera en la que los navegadores tratan las solicitudes de origen cruzado al contenido multimedia. Acorde a expertos en cursos de seguridad informática, la falla puede explotarse cuando un sitio web malicioso utiliza trabajadores de servicio para cargar contenido dentro de una etiqueta de “audio” de otro dominio mientras usa simultáneamente el parámetro “rango” para buscar solo una sección de ese archivo.

Los navegadores no siempre responden de la misma manera cuando cargan archivos dentro de etiquetas de audio de otras ubicaciones con la ayuda de los trabajadores del servicio, y un sitio web malicioso puede buscar ese contenido desde otro sitio.

Microsoft se refirió al bug como “una vulnerabilidad de desvío de información que existe cuando Microsoft Edge trata de manera inadecuada solicitudes de diferentes fuentes”.

Expertos en cursos de seguridad informática sostienen que un atacante que haya explotado con éxito la vulnerabilidad podría obligar al navegador a enviar datos que de otro modo estarían restringidos.