Una vulnerabilidad presente en los navegadores basados en Chromium de Google permitiría a los atacantes eludir la política de seguridad de contenido (CSP) en los sitios web, para así robar datos y ejecutar código malicioso. El fallo, identificado como CVE-2020-6519, se encuentra en Chrome, Opera y Edge, en Windows, Mac y Android, lo que podría afectar a miles de millones de usuarios web, según el investigador de ciberseguridad de PerimeterX, Gal Weizman.
Para explotar la vulnerabilidad, un atacante primero necesita obtener acceso al servidor web (mediante fuerza bruta de contraseñas u otro método), para poder modificar el código JavaScript que utiliza. Luego, el atacante podría agregar una directiva frame-src o child-src en el JavaScript para permitir que el código inyectado lo cargue y ejecute, evitando la aplicación de CSP y, por lo tanto, omitiendo la política del sitio, explicó Weizman.
CSP es un estándar web destinado a mitigar ciertos tipos de ataques, entre ellos los los ataques de inyección de datos y Cross-Site Scripting (XSS). CSP permite a los administradores web especificar los dominios que un navegador debe considerar como fuentes válidas de scripts ejecutables. Un navegador compatible con CSP solo ejecutará scripts cargados en archivos de origen recibidos de esos dominios.
Las versiones de Chrome 73 (marzo de 2019) a 83 están afectadas. La versión 84 se lanzó en julio y es la que soluciona el problema. Para los demás navegadores involucrados, se recomienda actualizar a su última versión disponible.
Referencia: