Microsoft no para en su intento de hacer de su navegador Edge uno de los más seguros a la hora de navegar por Internet. Aunque aún se encuentra lejos de las cuotas del mercado de Chrome, el líder en el sector, lo cierto es que el navegador de Microsoft está ganando adeptos. Sin embargo, pese a las mejoras realizadas por los de Redmond lo cierto es no está exento de fallos. Ahora se ha descubierto el último un problema de seguridad que pone en peligro nuestra privacidad y seguridad.
Todo se remota a la semana pasada. El pasado día 24, Microsoft decidió saca una nueva actualización para su navegador, en el cual se incluyen correcciones para dos problemas de seguridad en Edge. Uno de ellos se refiere a una vulnerabilidad de omisión de seguridad que podría explotarse para introducir y ejecuta un código arbitrario en cualquier sitio web. Este fallo quedó registrado como CVE-2021-34506 y trae consigo un problema scripting universal entre sitios (UXSS). Este script se activa cuando usamos la aplicación de Microsoft Translator desde el navegador.
Nuevo fallo localizado en sitios cruzados universal (UXSS)
Detrás del descubrimiento de esta nueva vulnerabilidad se encuentran los investigadores Ignacio Ignacio Laurence, Vansh Devgan y Shivam Kumar Singh pertenecientes a CyberXplore Private Limited. Este descubrimiento se conoce como una vulnerabilidad de secuencia de comandos en sitios cruzados universal (UXSS). Esto significa que usan los atacantes para accedan nuestros datos privados del navegador desde el sitio web «X» mientras navegamos por el sitio web malicioso «Y». Según estos investigadores este ataque UXSS se encarga de explotar las vulnerabilidades del usuario en las extensiones del navegador con el fin de ejecutar un código malicioso, a diferencia de lo que sucede con un ataque XSS común. Posteriormente, el navegador se ve afectado una vez explota esta vulnerabilidad lo cual termina provocando la desactivación de sus funciones de seguridad.
Concretamente, los investigadores descubrieron un fragmento de código apto para ser vulnerado dentro de una función de traducción de la página de Microsoft Translator. Este hecho permitía a cualquier hacker o usuario malintencionado insertar un código JavaScript malicioso dentro de la página web, para que el usuario sin saberlo lo ejecutará al hacer clic en el mensaje de la barra de direcciones de Microsoft Translator.
Los citados investigadores también demostraron otras vulnerabilidad. Por un lado, es posible realizar un ataque con solo agregar un comentario a un vídeo de YouTube o mediante una solicitud de amistad de un perfil de Facebook. En ambos casos se incluía contenido en un idioma diferente al inglés que junto con una carga de la extensión XSS, provocaba la ejecución del código de manera inmediata.
Actualiza Edge para solucionar el problema
Por suerte, este problema ya ha sido solucionado por parte de Microsoft en su última actualización disponible, cuya versión es 91.0.864.59. Es por ello que, como siempre decimos, es muy recomendable mantener actualizado nuestras aplicaciones y en este caso el navegador a la última versión, pues con ello siempre se corrigen errores y vulnerabilidades como la que hemos comentado.
Para mantener Microsoft Edge actualizado a la última versión, debemos de abrir el navegador y pulsando sobre los tres puntos de la parte superior derecha. Aquí pulsamos sobre el apartado de «Configuración». Esto nos abrirá una nueva ventana y en la columna de la izquierda pulsamos sobre «Acerca de Microsoft Edge». En la parte derecha podemos ver la última versión que tenemos disponible y en caso de que haya una descarga poder realizarla.