SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/un-error-en-microsoft-edge-permite-la-ejecucion-de-codigo-javascript-malicioso/
TAGS: código JavaScript
Aunque la mejoría ha sido importante, el navegador web de los de Redmond que ahora es referencia sigue pecando de robustez si hablamos de seguridad. En esta ocasión, expertos en seguridad han detectado una vulnerabilidad que permite la realización de ataques XSS en Microsoft Edge, provocando la ejecución no autorizada de código JavaScript.
Tal y como se supo hace ya varios meses, Internet Explorer y este comparten cierto código, por lo que no es para nada descabellado ver una vulnerabilidad común a ambos. Esta es la situación que podemos encontrar en la actualidad, con el único matiz que en el caso del ya sustituido se ha corregido el fallo de seguridad, mientras que en el nuevo aún los usuarios están a la espera de un parche que se capaz de poner fin.
Los filtros que permiten este tipo de ataques son muy importantes, ya que impiden que se pueda llevar a cabo la ejecución de código de forma no autorizada en el lado del usuario.
Se trata de una de las vulnerabilidades más común entre los navegadores web y que más problemas puede provocar a los usuarios. Y es que la ejecución no controlada de código JavaScript se puede explotar de forma totalmente remota, pudiendo redirigir al usuario a una página web sin que este sea consciente, pudiendo provocar el robo de las credenciales de acceso servicios como entidades bancarias, servicios de mensajería y correo electrónico o redes sociales.
Tiempos de actuación muy laxos
La vulnerabilidad fue reportado el pasado mes de septiembre y desde entonces solo en Internet Explorer se ha corregido, quedando aún pendiente Microsoft Edge. Siempre se suele otorgar un tiempo prudencial entre el reporte y la publicación de la información para que desde la compañía pueda tomar medidas. Sin embargo, en esta ocasión parece que ha quedado en saco roto para el nuevo software de los de Redmond con el que quieren plantar cara a Firefox y Chrome.
Sin ir más lejos, uno de los expertos que descubrió la vulnerabilidad ha sido muy crítico con el código heredado, añadiendo que es un error por parte de la compañía y que puede afectar de forma negativa a la larga a la imagen y reputación del navegador.
El fallo en Microsoft Edge se debe a un fallo en ES6
La aparición de nuevas versiones con novedades provoca que se abran puertas para llevar a cabo ataques, y este es sin lugar a dudas un claro ejemplo. La última versión de JavaScript ha fomentado la aparición de esta vulnerabilidad XSS en los navegadores de Redmond.
Por el momento no se sabe nada sobre la actualización del navegador referente para Microsoft, aunque es de esperar que pronto está disponible un parche que sea capaz de resolver el problema.
Fuente:http://www.redeszone.net/
Noticias de seguridad informática
No comments:
Post a Comment