Descubren un método para hacer que se cuelgue casi cualquier navegador web

Software

Las empresas de seguridad informática están constantemente buscando fallos en los productos que utilizan los usuarios por varias razones: aumentar la seguridad en la red, publicitarse cuando descubren algún fallo gordo y fomentar sus productos, o ganar dinero de recompensas que tienen la mayoría de compañías de software.

Investigadores de la empresa Nightwatch Cybersecurity han descubierto una forma de hacer que se cuelguen navegadores como Chrome o Firefox, tanto en sus versiones móviles como en versiones de ordenador. Para ello, utilizan las sugerencias de búsqueda que ofrecen estos navegadores, tanto en la propia barra de dirección URL, o en un apartado a la derecha de ésta.

navegadores-web

Este fallo ha sido encontrado en la versión de escritorio y móvil de Firefox y Chrome, entre otros navegadores menores como el navegador AOSP De Android. Internet Explorer y Edge no están afectados, y Safari tampoco (a pesar de que un fallo similar fue descubierto y arreglado a principios de año, afecantdo a iOS y OS X)

La ejecución del código para hacer que se cuelgue el navegador se puede hacer de manera remota, aunque no es sencillo. El fallo radica en que este tipo de búsqueda no utiliza cifrado HTTPS, y sólo utiliza el HTTP normal. Si un atacante se encuentra en la misma red, puede interceptar el tráfico que se genera entre las sugerencias de búsqueda y el navegador, ya que en esta transmisión de información ésta no va cifrada.

Después, el atacante puede introducir lo que quiera entre ambos puntos, y si a la petición del navegador le llega un archivo de más de 2GB, el navegador se queda sin memoria y se cuelga. Los navegadores no comprueban el tamaño de la búsqueda, siendo un verdadero problema sobre todo para los navegadores móviles, ya que son los que menos memoria tienen. Además, los navegadores creen que van a recibir pronto una respuesta del generador de sugerencias, por lo que no permiten que tarde mucho rato en recibirla, generando el cuelgue.

navegadores web barra de búsqueda

Los navegadores que presentaron problemas fueron:

  • Navegador Android AOSP en Android 4.4 – La aplicación se cuelga y se cierra.
  • Chrome v51 en Android 6.0.1 – La aplicación se cuelga y se cierra.
  • Chrome v51 en Ubuntu v16.04 – Se cuelga el ordenador entero y require reiniciar el ordenador.
  • FireFox v47 en Ubuntu v16.04 y Android 6.0.1 – La aplicación se cuelga y se cierra.

Para poder explotar esta vulnerabilidad, el atacante tiene que tener control de las DNS y del tráfico del dispositivo de la víctima. Para esto, sólo basta que se conecten a un Wi-Fi Hotspot abierto o estar dentro de una red con el router hackeado. Además, debido a la capacidad que requiere la respuesta, sólo se puede explotar en redes locales o por Wi-Fi.

Ni Google ni Mozilla consideran esto como una vulnerabilidad que afecte a la seguridad de los usuarios, pero lo arreglarán de aquí a finales de año. Si queréis replicar el fallo, en la web donde ha sido publicado lo explican.

Quizá te interese…

UR Browser, un nuevo navegador hecho en Europa para luchar contra Google Chrome

Navega más rápido con estos atajos de teclado para tu navegador

Cómo bloquear la reproducción automática de vídeos en tu navegador

Escrito por Alberto García

Fuente > Nightwatch Cybersecurity

Vía > Softpedia

Continúa leyendo
Comentarios
1 comentario
  1. Anónimo
    Usuario no registrado
    29 Jul, 16 8:43 am

    Pero si lo primero que se hace al instalar un navegador es desactivar las molestas “sugerencias”….