Se você ainda não atualizou o seu navegador para a última versão, esse é um excelente momento para fazer isso. Uma vulnerabilidade recém descoberta mostrou que quase todos os sites do mundo estavam em risco.
A falha do Google Chrome permite que invasores ignorem completamente as regras de segurança de conteúdo (CSP) desde o Chrome 73 (de março de 2019). Entre os sites vulneráveis estavam o Facebook, Gmail, TikTok, Instagram, WhatsApp e Wells Fargo (um grande banco norte americano).
Chamado de CVE-2020-6519, o problema possibilita a execução de códigos maliciosos nos sites alvos de ataques. Isso poderia comprometer inclusive a segurança financeira de usuários comuns.
Leia mais: Paulo Guedes quer taxar os livros: pirataria pode aumentar, diz estudo
Curiosamente, parece que a mesma falha também foi destacada pelo Tencent Security Xuanwu Lab há mais de um ano, apenas um mês após o lançamento do Chrome 73 em março de 2019, mas nunca foi corrigida até que PerimeterX relatou o problema no início de março.
Depois que as descobertas foram divulgadas ao Google, a equipe do Chrome emitiu uma correção para a vulnerabilidade na atualização do Chrome 84 (versão 84.0.4147.89) que começou a ser lançada em 14 de julho.
CSP é uma camada extra de segurança que ajuda a detectar e mitigar certos tipos de ataques, incluindo Cross-Site Scripting (XSS) e ataques de injeção de dados. Com as regras de CSP, um site pode exigir que o navegador da vítima execute certas verificações do lado do cliente com o objetivo de bloquear scripts específicos que são projetados para explorar a confiança do navegador no conteúdo recebido do servidor.
Dado que o CSP é o principal método usado pelos proprietários de sites para impor políticas de segurança de dados e evitar a execução de scripts maliciosos, um desvio de CSP pode efetivamente colocar os dados do usuário em risco.
Isso é obtido especificando os domínios que o navegador deve considerar como fontes válidas de scripts executáveis, de forma que um navegador compatível com CSP execute apenas scripts carregados em arquivos de origem recebidos desses domínios permitidos, ignorando todos os outros.
A falha descoberta por Tencent e PerimeterX contorna o CSP configurado para um site simplesmente passando um código JavaScript malicioso na propriedade “src” de um elemento HTML iframe.
É importante notar que sites como Twitter, Github, LinkedIn, Google Play Store, página de login do Yahoo, PayPal e Yandex não foram considerados vulneráveis, uma vez que as políticas CSP foram implementadas usando um nonce ou hash para permitir a execução de scripts embutidos.
“Ter uma vulnerabilidade no mecanismo de aplicação de CSP do Chrome não significa diretamente que os sites sejam violados, já que os invasores também precisam conseguir acesso ao site para que ele execute o código malicioso (razão pela qual a vulnerabilidade foi classificada como de gravidade média),” PerimeterX’s Gal Weizman observou.
Embora as implicações da vulnerabilidade permaneçam desconhecidas, os usuários devem atualizar seus navegadores para a versão mais recente para se proteger contra tal execução de código. Os proprietários de sites, por sua vez, são recomendados a usar os recursos nonce e hash do CSP para aumentar a segurança.
Além disso, a última atualização do Chrome 84.0.4147.125 para sistemas Windows, Mac e Linux também corrige 15 outras vulnerabilidades de segurança, 12 das quais são classificadas como ‘alta’ e duas como ‘baixa’ em gravidade.
A matéria foi traduzida e adaptada da Hacker News.