Han pasado ya 5 años desde que publiqué el artículo en el que se habla del fallo de seguridad en Google Chrome que permite saltarse la política de bloqueo de JavaScript usando algo tan fácil como un iframe. Hoy toca hacer un poco de resumen de cómo ha evolucionado.
Año 2010: No es un bug y no se arreglará
El reporte que se hizo al proyecto Chromium obtuvo el id de bug 44985 - con el título "Make content settings restrictions apply to resources (as well as the top frame)" y se discutió durante tiempo. Cuando se hizo el reporte al proyecto era la versión de Google Chrome 4 y corría el año 2010 y como podéis ver en la imagen siguiente se marcó inicialmente como "Wont Fix".
Figura 2: Bug id 44985 Mayo de 2010. Estado "Wont Fix" |
Año 2014: Es una feature pero afecta a cosas y lo arreglaremos en algún momento
El año pasado, cuando ya estábamos en la versión Google Chrome 36, el bug se unificó bajo el id 444744, con el título del bug "Content Settings iframe behavior may not be expected". Como ya os puse en el artículo, el bug se consideraba una feature que afectaba al interfaz de usuario, a la privacidad, y al User eXperience, pero no mucho más.
Figura 3: Bug 44985 en Agosto de 2014 |
Año 2015: Es un bug, que afecta a la seguridad, y lo arreglaremos
Este fin de semana el expediente del bug ha sido re-calificado para definirlo como bug, y ahora sí se define como un bug que afecta a la Seguridad, además de que la prioridad ha pasado de 3 a 2, por lo que parece que tiene más posibilidades de ser tratado. Estamos en la versión Google Chrome 43, en el año 2015.
Figura 4: Bug 44985 en Junio de 2015 |
El "issue" en sí
Lo cierto es que a día de hoy, el fallo sigue existiendo, y se puede saltar el filtrado de una ejecución de un dominio con meter la llamada en un iframe.
Figura 5: En la versión Google Chrome 43 sigue están activo |
Es decir, 5 años y 39 versiones después, el issue de seguridad sigue estando vivo y a la espera de ser corregido. Os avisaré en cuanto esté corregido. Mientras tanto, no confiéis en esta característica como una medida de seguridad.
Saludos Malignos!
Normal, este issue lo tenian que utilizar agencias gubernamentales para sus tareas de espionaje, ahora que todo mundo está encima de Google y de dichas agencias, ya lo consideran y lo van a corregir
ResponderEliminarCHEMA: con plugins que blokean el javascrip,se mitiga el bug?
ResponderEliminarLo peor es que ahora que "se dieron cuenta" que afecta a la seguridad sigue sin parchearse aun.
ResponderEliminar@EliasJaime
ResponderEliminarPero ya va, deja la prisa, que la NaSA aún no ha terminado de darle uso.
@EliasJaime
ResponderEliminarPero ya va, deja la prisa, que la NsSA aún no ha terminado de darle uso.