Detectadas dos vulnerabilidades que afectan a los navegadores más populares

Los fallos, desvelados en el USENIX Security Symposium de Canadá a primeros de este mes por Iskander Sanchez-Rola e Igor Santos de la Universidad de Deusto, y por Davide Balzarotti de Eurecom, siguen sin estar parcheados.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

De ser explotados, estos fallos permiten exponer una lista de las extensiones instaladas en el navegador con una precisión del 100%. Esta información se puede utilizar para desenmascarar usuarios anónimos que se ocultan detrás del tráfico de VPN o Tor, o para crear perfiles de publicidad.

En el documento que analiza los fallos se explica que enumerando las extensiones instaladas, un atacante podrán explotar las vulnerabilidades. Firefox y Chrome han implementado una forma de control de acceso sobre los recursos de las extensiones, mientras que Safari adoptó la asignación al azar de la extensión URI en tiempo de ejecución.

Cada una de estas implementaciones puede ser dirigida de una manera diferente, de ahí los dos métodos de ataque que los investigadores han descubierto, según publica Bleepingcomputer.com.