Google lanzó la actualización de Chrome para corregir el error de omisión de CSP

Investigadores Tencent y PerímetroX encontró un error de día cero en los navegadores Chromium de Android, Windows y Mac. El problema es Política de seguridad de contenido (CSP), donde podría explotarse inyectando código malicioso en las propiedades de los elementos HTML de un sitio web, provocando que el protocolo CSP falle. Google para Chrome pone a disposición un parche.

Errores de día cero en los navegadores Chromium

Chrome, Edge, Opera, Brave y muchos otros confían en Chromium como tecnología subyacente. Por lo tanto, cualquier vulnerabilidad en Chromium eventualmente afectaría a los navegadores basados ​​en ella. Y aquí hay uno que debería preocupar a los usuarios.

Los investigadores de PerimeterX lanzaron un error de día cero en marzo de este año, lo que afecta la Política de seguridad de contenido en Chromium, por lo que los navegadores se basan en ella.
CSP es una capa adicional de seguridad que evita los ataques de secuencias de comandos entre sitios. Como resultado, un sitio web puede ordenar al navegador que busque scripts maliciosos, bloqueándolos para evitar explotar el contenido.

Especifica ciertos sitios como «fuentes válidas de scripts ejecutables para que un navegador compatible con CSP ejecute solo scripts cargados en archivos de origen recibidos de estos dominios permitidos, ignorando todos los demás«, de acuerdo a The Hacker News. Esto se puede solucionar configurando el CSP de un sitio web ignorando el código JavaScript malicioso en la propiedad «src» de un Elemento iframe HTML.

Esta técnica de elusión fue informada por Laboratorio Xuanwu de Tencent Security en marzo de 2019, pero no se consideró en ese momento. Y ahora, despues PerimeterX informado, Google aprobó una solución para este último mes en forma de versión 84.0.4147.89. Se recomienda a los usuarios que actualicen inmediatamente a la nueva versión, y los propietarios de sitios web deben usar mientras tanto y funciones de hash CSP para mayor seguridad.