CVE-2018-6177 Chrome Bug permite a los hackers para robar datos confidenciales a través de las etiquetas HTML
CYBER NOTICIAS

CVE-2018-6177 Chrome Bug permite a los hackers para robar datos confidenciales a través de las etiquetas HTML

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

Una vulnerabilidad navegador Chrome conocido bajo el identificador CVE-2018-6177, recientemente descubierto por el investigador Ron Imperva Masas, fue simplemente parcheado por Google. El fallo de seguridad podría permitir a un atacante para recuperar datos sensibles de sitios web utilizando las etiquetas HTML de audio o vídeo.




Detalles técnicos de CVE-2018-6177

En su descubrimiento, Masas “Fue capaz de utilizar las etiquetas HTML5 de vídeo / audio para obtener una buena estimación de un tamaño de recursos de origen cruzado, ya que no hay validación sobre el tipo de contenido de recursos es posible estimar cualquier recurso".

El investigador también descubrió que, por los sitios de ingeniería para devolver un tamaño de respuesta diffеrent dependiendo de las propiedades usuario actualmente conectado, es posible utilizar este método para extraer información valiosa:

Por ejemplo, si un sitio de redes sociales permiten a los usuarios crear sus mensajes públicos a una audiencia específica, digamos sólo para las personas en la edad de 24. un atacante puede crear varios puestos para cada edad; A continuación, el uso de etiquetas de video ocultas que podía solicitar cada recurso; ya que con este método nos da una estimación del tamaño de los recursos sería posible para un atacante para extraer la edad exacta del usuario actualmente conectado sitio de redes sociales en cuestión de segundos, el investigador dijo.

¿Cómo se explota CVE-2.018-6.177

CVE-2018-6177 puede ser explotado en versiones anteriores de Chrome. Explotar es posible en los casos en que un atacante trucos con éxito una víctima potencial para visitar un sitio malicioso. Según lo explicado por el investigador, caso de un ataque típico requeriría un código malicioso que se carga el contenido de los sitios legítimos dentro de las etiquetas HTML de audio y vídeo.

Artículo relacionado: Google Chrome bloqueará instalación de otros fabricantes extensiones del sitio

Esto suele suceder a través de técnicas de publicidad maliciosa o por medio de vulnerabilidades en sitios legítimos que permiten a los atacantes inyectar y ejecutar código malicioso. El segundo tipo de ataque se produce con la ayuda de los defectos de scripts de sitios almacenados (XSS).

Afortunadamente, el fallo ya ha sido fijado en el final de julio con el lanzamiento de Chrome v68.0.3440.75.

avatar

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...