La vulnerabilidad fue descubierta por el desarrollador Jake Archibald, quien asegura que encontró este bug por accidente al que le puso el nombre de “WaveThrough”. El error, existente en algunos navegadores web modernos, como Mozilla Firefox y Microsoft Edge, ya fue reportado y las empresas lanzaron parches para corregir el error que están disponibles en la última actualización. Por lo tanto, recomendamos a los usuarios que actualicen sus navegadores para estar seguros que se encuentran protegidos ante cualquier amenaza que intente explotar esta vulnerabilidad.
Según publicó Hacker News, el error radica en la forma en que el navegador maneja las solicitudes de origen cruzado para archivos de video y audio. En caso de ser explotada la vulnerabilidad podría permitir que un atacante lea, de manera remota, tus correos o información sobre tu actividad en Facebook.
Para que se entienda mejor, por seguridad un navegador no permite que un sitio web realice solicitudes de origen cruzado a un dominio diferente, salvo que un dominio lo permita de manera explícita. Por lo tanto, cuando un usuario visita un sitio web, el navegador solamente puede solicitar datos del mismo origen desde el que se cargó el sitio; evitando que realice una solicitud no autorizada en un intento de robar datos de otros sitios en su nombre. Pero al momento de buscar archivos multimedia alojados en otros orígenes, los navegadores no operan de la misma manera y permiten que un sitio web que visitamos cargue archivos de audio y/o video de diferentes dominios sin ningún tipo de restricción.
Cuando un navegador realiza una petición, solicita la totalidad de los recursos. Sin embargo, el sitio define mediante el range header qué parte del contenido ofrece, permitiendo que un sitio web pueda utilizar solo una parte de un archivo multimedia más grande a modo de resumen.
Para que se entienda, los archivos multimedia tienen la capacidad de unir piezas provenientes de múltiples respuestas y tratarlas como un único recurso.
En este sentido, según explica Archibald, Firefox y Edge permiten que elementos multimedia mezclen juntos datos visibles y opacos de múltiples fuentes dejando abierta la posibilidad de que un atacante se aproveche de esto.
Según publica Hacker News, para Archibald esta vulnerabilidad puede ser explotada por un sitio web malicioso mediante el uso de un archivo multimedia embebido en su página, que al ser reproducido, solo ofrece contenido parcial de su propio servidor y solicita al navegador buscar el resto del archivo en un origen diferente, obligando al navegador a realizar solicitudes de origen cruzado con otro dominio.
De esta manera, la segunda solicitud, que al ser de origen cruzado debería estar restringida, se realizará de manera exitosa al permitir la visibilidad de datos visibles y opacos para un archivo multimedia, lo cual permitiría que un sitio robe información de otro.
Navegadores como Chrome y Safari rechazan tales solicitudes de origen cruzado. En el caso de Firefox y Edge la vulnerabilidad ya fue reparada con un parche disponible en la última actualización, luego de que Archibald informara a las empresas acerca de su hallazgo. Por lo tanto, si eres usuario de Mozilla Firefox o Microsoft Edge, asegúrate de actualizar tu navegador e instalar la última versión.