Google está constantemente auditando y mejorando la seguridad de Google Chrome, su navegador web y el más utilizado en todo el mundo. Por ello, la compañía lanza cada poco tiempo parches de seguridad que buscan corregir estos fallos de seguridad de manera que el navegador pueda ser, poco a poco, cada vez más seguro. En esta ocasión, Google acaba de dar a conocer un fallo de seguridad que podía permitir el robo de información y datos sensibles de los usuarios a partir de ataques XSS utilizando etiquetas HTML.

Registrado como CVE-2018-6177, este fallo de seguridad recién conocido podía permitir fácilmente a cualquier pirata informático hacer caer a una víctima en un sitio web falso y peligroso simplemente incluyendo código malicioso dentro de un anuncio, o inyectando código en un sitio web fiable pero vulnerable, de manera que cuando el usuario cargue ese contenido, sin tener que hacer nada automáticamente caería en las manos del pirata informático.

Tal como explican los investigadores de seguridad, el fallo se debe a que el navegador carga todo el código, sin verificarlo, que hay dentro de las etiquetas HTML de audio y vídeo. Estos enlaces generalmente se encargan de engañar al navegador para que envíe todo el tráfico a un sitio web elegido por los piratas informáticos. Normalmente este tipo de ataques suelen ser detectados y bloqueados por CORS (Cross-Origin Resource Sharing), aunque dada la naturaleza de esta vulnerabilidad esta técnica evade los escudos de CORS.

Esta vulnerabilidad puede ser utilizada para muchos fines, como, por ejemplo, para capturar todo lo que un usuario escribe en su cuenta de Facebook, aunque los expertos de seguridad aseguran que, con un poco de trabajo, podría ser mucho más peligrosa, especialmente si se enfoca a empresas y grandes organizaciones que manejen datos sensibles. Además, este fallo de seguridad se puede explotar también a través de las APIs del navegador, pudiendo poner en peligro cualquier plataforma.

Cómo protegernos de este fallo de seguridad en Google Chrome y proteger nuestros datos

Google ya conocía este fallo de seguridad en su navegador desde hace bastante tiempo, y por ello, desde el pasado mes de julio, cuando se lanzó la actualización 68.0.3440.75, la vulnerabilidad ya no supone un peligro para los usuarios, aunque por motivos de seguridad, hasta ahora no se había dado a conocer.

Si queremos estar seguros de que nuestro navegador no es vulnerable lo que debemos hacer es asegurarnos de estar utilizando una versión igual o superior a la 68.0.3440.75 de Google Chrome. Para ello, simplemente abriremos el menú de Opciones > Ayuda > Información de Google Chrome y comprobaremos la versión exacta instalada. En caso de no ser la última, desde este apartado se buscará y descargará la última versión del navegador, aunque también podemos hacerlo manualmente desde el siguiente enlace.

Esta vulnerabilidad solo afecta a Google Chrome, y a cualquier otro navegador basado en él, por lo que otros navegadores, como Firefox o Edge, no son vulnerables, aunque estos ya han tenido recientemente otro fallo de seguridad similar, Wavethrough, que, probablemente, tenga relación con este fallo de Chrome.

¿Tienes Google Chrome ya actualizado para estar protegido frente a esta vulnerabilidad?