¿Te preocupa la privacidad de tus datos? Pues agárrate ya que vienen curvas. Un investigador de seguridad ha descubierto una brecha que afecta al navegador web de Microsoft, Edge. Mientras espera una revisión que de el salto al motor de renderizado basado en Chromium, los problemas siguen presentes para Edge.
La alerta, como en otras ocasiones, proviene de Google Project Zero, un departamento encargado de investigar y detectar fallos y brechas en aplicaciones y sistemas operativos. Y en este caso Ivan Fratric, (@ifsecure), ha detectado un error en Edge que permite que se pueda ejecutar código Flash sin que el usuario tenga conocimiento de ello.
Barra libre para Flash
Para ponernos en antecedentes hay que viajar en el tiempo hasta finales de 2018. Desde Google Project Zero descubrieron una lista blanca (white list) en Edge. Se trata de una lista que funciona igual que la que podemos usar en los _smartphones_, salvo que en lugar de usar números de teléfono usa servicios web.
En total, este listado daba libertad de acceso a nuestros equipos para que hasta 58 sitios web de todo tipo pudieran ejecutar código basado en Adobe Flash y todo ello, claro está, sin que el afectado tuviera conocimiento de ello. Ese era el problema.
Puesto en conocimiento de Microsoft el problema, Edge fue parcheado y aunque atajaron la raíz del problema, no consiguieron eliminar todas las amenazas. Persistían dos sitios web que aún contaban con permisos para ejecutar Flash. Y los dos estaban bajo la influencia de Facebook. Estos son los dos dominios con "privilegios":
- https://www.facebook.com
- https://apps.facebook.com
Esto se traduce en que cualquier widget que se ejecute en Flash y que esté incluido en alguno de estos dominios, puede poner vulnerar las medidas de seguridad de Microsoft. Además, el mismo Fratric descubrió un nuevo riesgo por la que se podía "esquivar" la política de clicktorun de la que hace gala Edge y que otorga el control de acceso al equipo al usuario. Es este el que puede admitir o denegar el que se ejecute este tipo de servicios. Un agujero de seguridad importante, pues se podría ejecutar código Flash ya sea por parte de estos dominios o incluso por medio de un ataque MITM (Man In The Middle).
Según avisan en el sitio web, _"cuando se visita un sitio web que intenta cargar contenido Flash mientras navega con Microsoft Edge a partir de Windows 10 Creators Update, puede observar que ciertos aspectos del sitio web no funcionan de la forma que espera. Este comportamiento inesperado puede ser el resultado de que Flash se bloquee de forma predeterminada debido a la función Flash Click-to-Run"_. En teoría este debía ser el funcionamiento.
Un clavo para Edge
Este hecho es especialmente grave, pues significa que está en riesgo la seguridad y la integridad de los datos del usuario. Y de paso contradice las políticas de seguridad de Edge, que lucha contra el uso fraudulento de este tipo de prácticas.
Es un flaco favor el que hechos como este le hacen a Edge, una navegador con una salud "delicada" que ya ve cómo Microsoft le ha puesto fecha de defunción cuando en Windows 10 October 2019 Update el nuevo Edge sea una realidad.
Ver 4 comentarios