Global Preloader
Vulnerabilidad
(07/Jun/2018) Fallo en Chrome y Firefox permite mostrar detalles de Facebook

Fallo en Chrome y Firefox permite mostrar detalles de Facebook

Un investigador de seguridad ha descubierto una debilidad en CSS3 (Cascading Style Sheets 3) por parte de Chrome y Firefox que podría causar la filtración de los nombres de usuario, las imágenes de perfil y los “me gusta” de sitios web como Facebook.

Descubierta por el investigador Ruslan Habalov cuando visitó Pinterest y vio que su nombre y su imagen de Facebook estaban siendo mostrados en un botón de Facebook que se encontraba dentro de un iframe de HTML. El origen del problema estaba en el mix-blend-modes de CSS3.

La propiedad mix-blend-mode es usada para inferir en el contenido del iframe para mostrar la presencia y el color de cada píxel en la pantalla del usuario.

Si un atacante externo explota esto utilizando un sitio web malicioso, podría deshacer la anonimización de los datos de los visitantes no solo a través de Facebook, sino también de otros sitios web de terceros que estén embebidos en la página principal. Esto se puede hacer debido a que muchos sitios web no tienen la protección de los iframes habilitada.

Tras asignarle el código CVE-2017-15417, el problema fue corregido en Chrome 63 y Firefox Quantum 60. No se tiene constancia de que Internet Explorer, Microsoft Edge y Safari estén afectados.