Una vulnerabilidad en Google Chrome permite a atacantes deshabilitar extensiones de forma remota

Share this…

La seguridad en los navegadores web continúa siendo la piedra angular de los usuarios mientras disfrutan navegando por Internet. Un fallo de seguridad en estos puede poner en problemas la seguridad de los datos de estos, como la última vulnerabilidad descubierta en Google Chrome, que permite el bloqueo de las extensiones de forma remota.

Un investigador ha detallado en qué consiste el problema y porqué permite que las extensiones se puedan detener y desinstalar sin el conocimiento del usuario. Todo parece indicar que un manejador de acciones que posee el navegador es el principal problema, existiendo varios errores que se pueden aprovechar de forma remota si el usuario accede a determinadas páginas con un código HTML concreto.

A la vista del problema, se puede decir que todas las extensiones están afectadas por esta vulnerabilidad, ya que incluso la extensión HTTPS Everywhere se ha conseguido detener en una demostración realizada.

Https everywhere

¿Qué usuarios están afectados por este fallo?

Según ha detallado el investigador, los de Mountain View ya han publicado una actualización del navegador Google Chrome que pone fin a este problema que puede resultar bastante molesto. Sin embargo, hay que decir que todos aquellos usuarios que no tengan configuradas las actualizaciones automáticas en su navegador están expuestos a sufrir problemas.

¿Están afectadas todas las extensiones de Google Chrome?

Teniendo en cuenta que la demostración se ah realizado con un número bastante amplio de complementos, el investigador se ha atrevido a confirmar que afecta a todas de igual forma. Evidentemente no se trata de un fallo que esté asociado a estas, de ahí que al estar asociado al navegador web todas se vean afectadas por igual.

Existe otra vía para hacer uso de esta vulnerabilidad

En la actualización, los de Mountain View han bloqueado el acceso desde las extensiones a la URI (librería manejadora) que está causando los problemas. Sin embargo, pasó por alto que la creación o manipulación de determinados atributos también permite hacer uso de esta y provocar que las extensiones fallen y se deshabiliten.

Por lo tanto, la última versión de Google Chrome solo soluciona el problema de forma parcial, por lo que tendremos que esperar a una versión posterior para que el Gigante de Internet ponga fin al problema de forma definitiva.

Fuente:https://www.redeszone.net/