Michal Bentkowski, investigador de seguridad informática, encontró un fallo crítico el pasado mes de mayo e informó a la compañía de Mountain View al respecto. Un fallo que, por cierto, afecta a todas las versiones de escritorio, tanto Windows como Mac y Linux. El fallo en cuestión tiene que ver con CSP, Content Security Policy (CVE-2018-6148), y en caso de no actualizar el navegador web a la última versión –ya disponible por la vía habitual- nos exponemos a diferentes ataques por inyección de código malicioso.
La compañía de Mountain View fue informada sobre el problema, con detalles de parte de este investigador de seguridad informática, a finales del pasado mes de mayo. Un incorrecto funcionamiento de CSP provocaba que un atacante pudiera inyectar código malicioso. Con CSP, los administradores de sitios web pueden añadir a sus portales una capa adicional de seguridad para controlar la carga de recursos sobre el navegador web. Con este problema, sin embargo, se abre la posibilidad de que un atacante inyecte código malicioso y pueda ejecutar ataques clickjacking y similares.
Con la última actualización de Google Chrome para ordenadores Windows, Mac y Linux, la compañía de Mountain View ha resuelto el problema. Esta actualización está distribuyéndose ya de forma automática, pero también se puede actualizar de forma manual.
De momento, la compañía de Mountain View ha aplicado restricciones sobre los encabezados CSP, pero lo más recomendable es actualizar el navegador con urgencia. No se han reconocido casos de ataques de este tipo, pero la vulnerabilidad se puede explotar con relativa facilidad.
Firefox también lanzó su nueva versión del navegador web Firefox versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.