Tecnología

Microsoft soluciona un agujero de seguridad en Edge que permitía secuestrar la barra de direcciones

  • El fallo sigue estando presente en el navegador de Apple, Safari

Microsoft ha solucionado una vulnerabilidad presente en su navegador Edge a través de la cual un actor malicioso podía acceder a información sensible de un usuario al sustituir la dirección web a la que se quiere acceder por otra mediante el secuestro de la barra de URL.

El investigador de ciberseguridad Rafay Baloch ha recogido el problema en una publicación en su blog, tras descubrir la vulnerabilidad por primera vez en un estudio realizado hace un año. Microsoft ya ha solucionado distribuido un parche de seguridad para su navegador Edge que soluciona el fallo, también presente en Safari y por el momento aún activo.

La vulnerabilidad, bautizada como 'Cargar y sobreescribir las condiciones de funcionamiento', permite 'burlar' la dirección URL a la que un usuario quería acceder. Para ello, a través de la función setInterval integrada dentro del lenguaje de programación JavaScript, utilizado en la creación de páginas web, es posible controlar los tiempos de recarga de una página.

Al utilizar esta función se induce a que la página retrase la carga, algo que durante este proceso un actor malicioso puede aprovechar para cambiar la dirección integrada en la barra URL por otra diferente antes de que el sitio web termine de cargar.

Si esto se produce, el usuario es redireccionado a la página mientras que la barra de direcciones muestra la URL a la que se quería acceder, así como su contenido. Mientras tanto, la información sensible que la página albergue acabará a disposición del ladrón de datos por medio de un sitio externo inexistente, el cual se correspondería a la página con la que se sustituyó la dirección web.

Este problema afectaba tanto a Microsoft Edge como a Safari, el navegador del sistema operativo iOS. El investigador informó de la vulnerabilidad a ambas compañías el pasado 2 de junio. Microsoft lo solucionó con la actualización de seguridad lanzada el 14 de agosto, mientras que Apple no había reaccionado al aviso por el momento a fecha de este lunes.

WhatsAppWhatsApp
FacebookFacebook
TwitterTwitter
Google+Google plus
Linkedinlinkedin
emailemail
imprimirprint
comentariosforum
Publicidad
Otras noticias
Contenido patrocinado
forum Comentarios 0
Deja tu comentario
elEconomista no se hace responsable de las opiniones expresadas en los comentarios y los mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.