Microsoft no soluciona un fallo de seguridad que Apple y Google ya han corregido
La seguridad en el software con el que trabajamos a diario es fundamental para que los datos que manejamos estén a buen recaudo y no puedan caer en manos no deseadas, así como para mantener la salud de nuestro equipo en un estado óptimo en todo momento.
De hecho uno de los elementos más importantes a este respecto es el navegador de Internet del que hagamos uso de manera habitual, ya que es clave a la hora de movernos por la Red, de donde precisamente provienen la mayoría de los ataques de los que podemos ser víctimas en cualquier momento. Pues bien, ahora un grupo de investigación de seguridad de Cisco ha sacado a la luz una nueva vulnerabilidad que se ha detectado en los principales navegadores web del momento y que se usan actualmente, incluyendo Google Chrome, Safari de Apple y Microsoft Edge.
Una vez comunicado este fallo a las pertinentes compañías responsables, a diferencia de lo sucedido con Google y Apple que ya han corregido este fallo en sus navegadores, Microsoft dice que no solucionará el problema porque, según ellos, hace referencia al diseño y por lo tanto no necesita una actualización. En concreto Nicolai Grødum de Cisco dice que la vulnerabilidad existe en versiones anteriores de Google Chrome y Safari, por lo que para mantener la seguridad es necesario actualizar a Chrome 57.0.2987.98 o posterior, Safari 10.1 e iOS 10.3. En el caso de Microsoft Edge, la versión 40.15063 es aquella en la que se ha encontrado el fallo y sin parche, por lo que las nuevas versiones también son vulnerables.
Microsoft no puede permitirse estos fallos de seguridad en Edge
El fallo de seguridad reside en la forma en que el navegador maneja el comando “about:blank de Chrome”, permitiendo ataques XSS que al final expondrían la información personal del usuario on-line. Las vulnerabilidades de divulgación de la información no son tan críticas como los fallos RCE, pero el experto advierte que sin un parche, los datos confidenciales podrían ser robados si el atacante logra eludir la “Política de Seguridad de Contenido” establecida por el servidor en cuestión.
De este modo los ataques XSS permiten a un atacante filtrar datos confidenciales e incluso hacerse con el control de una cuenta de usuario, lo que se puede considerar como un problema grave. La “Política de Seguridad de Contenido” está específicamente diseñada pensando en la prevención de los ataques XSS y permite al servidor poner en una lista blanca los recursos fiables para ser ejecutados de forma segura por el navegador web.
Por lo tanto ahora ya solo queda por ver si Microsoft cambia de opinión al respecto y finalmente envía un parche para esta vulnerabilidad, mientras tanto, independientemente del navegador que usemos, lo más recomendable es instalar la versión más reciente para asegurarnos de no estar expuestos a ningún ciberataque.