Poucas pessoas se preocupam ativamente em manter seus navegadores web devidamente atualizados. O que é um erro tremendo, já que o browser é a porta de entrada para muitos malwares que podem prejudicar seu dispositivo.

Pesquisadores da PerimeterX divulgaram nesta semana que uma falha em navegadores baseados no Chromium para Windows, Mac e Android poderia ter permitido que hackers contornassem totalmente as regras da Política de Segurança de Conteúdo (Content Security Policy, ou CSP) do browser. Essa brecha pode afetar navegadores Chrome, Opera e Edge que não estejam atualizados.

Rastreado como CVE-2020-6519, o problema afeta as versões do Chrome 73 (de março de 2019) até 83 (de julho de 2020). De acordo com especialista em segurança digital Gal Weizman, alguns dos maiores sites do mundo estão expostos a essa vulnerabilidade, tais como Facebook, WellsFargo, Gmail, Zoom, Tiktok, Instagram, WhatsApp, Investopedia, ESPN, Roblox, Avoid, Blogger e Quora.

“Para entender melhor a magnitude desta vulnerabilidade – os usuários potencialmente afetados estão na casa dos bilhões, com o Chrome tendo mais de dois bilhões de usuários e mais de 65% do mercado de navegadores por um lado, e alguns dos sites mais populares da web sendo vulneráveis por outro lado”, afirma Weizman.

A mesma falha também foi destacada pelo Tencent Security Xuanwu Lab há mais de um ano, apenas um mês após o lançamento do Chrome 73, em março de 2019. Mas só foi corrigida quando o PerimeterX relatou o problema no início de março deste ano. Depois que o problema foi relatado ao Google, a equipe do Chrome produziu uma correção para a vulnerabilidade na atualização do Chrome 84 (versão 84.0.4147.89) disponibilizada em 14 de julho.

A CSP é uma camada extra de segurança que ajuda a detectar e mitigar certos tipos de ataques, incluindo Cross-Site Scripting (XSS) e ataques de injeção de dados. Com as regras de CSP, um site pode exigir que o navegador da vítima execute certas verificações que podem bloquear scripts específicos – projetados para explorar a confiança do navegador no conteúdo recebido do servidor.

Este é um dos principais métodos usados pelos sites para impor políticas de segurança de dados e evitar a execução de scripts maliciosos. Por isso, um desvio de CSP pode colocar os dados do usuário em risco. A falha descoberta pela Tencent e pela PerimeterX contorna o CSP configurado para um site simplesmente passando um código JavaScript malicioso na propriedade “src” de um elemento HTML iframe.

Weizman observa que alguns sites protegidos por CSP, como Twitter, Github, LinkedIn, Google Play Store, página de login do Yahoo, PayPal e Yandex não foram considerados vulneráveis ao CVE-2020-6519, “pois estes implementam CSP usando ‘nonce’ ou ‘hash’, e por isso adicionam uma camada de segurança que é implementada no lado do servidor e também no lado do cliente”.

Porém, o especialista destaca que uma vulnerabilidade em um mecanismo de segurança que é considerado confiável por muitos sites para aplicar políticas mais rígidas em scripts de terceiros pode ter vastas implicações. “Alguns dos maiores sites dependem de CSP para fazer cumprir sua política e isso pode dar uma falsa sensação de segurança ao rodar scripts de terceiros”, completa Weizman.

O alcance da vulnerabilidade ainda é desconhecido, mas usuários devem atualizar seus navegadores para a versão mais recente o quanto antes, para se proteger contra tal execução de código. Administradores de páginas, por sua vez, devem usar os recursos nonce e hash do CSP para aumentar a segurança.

Via: The Hacker News