Una nueva vulnerabilidad afecta ahora al navegador Microsoft Edge permitiendo el robo de información

Una nueva vulnerabilidad afecta ahora al navegador Microsoft Edge permitiendo el robo de información

por Sergio San Joaquín 22/04/2019 ...

Parece que a Microsoft se le juntan los problemas, y es que, tras los fallos en sus últimas actualizaciones, así como la vulnerabilidad descubierta que afectaba al navegador Internet Explorer, es ahora el navegador Microsoft Edge quien ve su seguridad comprometida.

Es de nuevo John Page quien ha descubierto la nueva vulnerabilidad, y las implicaciones parecen ser mucho más graves en esta variante, en la que una característica de Microsoft Edge puede amenazar la seguridad de Internet Explorer.

La vulnerabilidad es una entidad XML externa o ataque XXE, y este ocurre cuando un “parseador” XML procesa una entrada XML que incluye una referencia a una entidad externa, en la demostración Page abrió un archivo MHL malicioso con un administrador de archivos e Internet Explorer cargó automáticamente varios archivos en un servidor remoto.

La peculiaridad llegó cuando Page observó que al descargar y abrir el archivo a través de Internet Explorer la información no se envió al servidor remoto. Sin embargo, cuando Page descargó el archivo a través de Microsoft Edge y lo abrió a través de Internet Explorer, es cuando el exploit funcionó como estaba previsto.

El CEO de Acros Security, un servicio de seguridad informática, fue capaz de probar y reproducir el exploit con idéntico resultado.

Los navegadores web, así como los clientes de correo electrónico deben agregar una marca a los archivos que provienen de fuentes no confiables, pero Internet Explorer parece estar confundido con las entradas agregadas del navegador Edge, siendo incapaz de leer el flujo de datos del MHT malicioso y por lo tanto, asumió que no incluía una marca de la web.

Mientras tanto, Microsoft sigue sin tomar cartas en el asunto a corto plazo, ya que insiste en que el exploit requiere una "ingeniería social" significativa y, por lo tanto, no representa una amenaza seria.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios o ven a nuestro Foro!

Redactor del Artículo: Sergio San Joaquín

Sergio San Joaquín

Pionero del overclock con refrigeración extrema en España desde 2005. Resulté ganador en algunos concursos internacionales de overclock profesional y conseguí batir records mundiales de diferentes benchmarks como SuperPi y 3DMark, llevándome a convertirme en capitán del famoso equipo internacional de overclock TeamOCX. Combino la redacción de artículos técnicos sobre hardware en Geeknetic con mi pasión por overclock. Siempre podrás encontrarme en la categoría de overclock del foro de Geeknetic.

Comentarios y opiniones sobre: Una nueva vulnerabilidad afecta ahora al navegador Microsoft Edge permitiendo el robo de información ¿Qué opinas? ¿Alguna pregunta?