Nos encontramos ante la primera actualización de navegadores con tanto Google y Mozilla solucionando vulnerabilidades de seguridad tanto en Chrome y Firefox para Mac, Windows, y Linux.
Pero en cuanto a la seguridad de Chrome de su versión 72, se trata más de lo que se ha quitado de lo que se ha añadido.
Uno de los cambios es la depreciación del apoyo a los protocolos obsoletos de TLS 1.0 y 1.1 con el fin de eliminarlos totalmente con Chrome 81, planificado para principios del año que viene (al igual que Firefox, Microsoft Edge y Safari de Apple). Esto afectará más a los desarrolladores que a los usuarios quienes todavía se podrán conectar a un pequeño número de sitios utilizando TLS 1.0/1.1 durante otro año.
Sin embargo, un estándar que se ha eliminado completamente de Chrome 72 es HTTP-Based Public Key Pinning (HPKP), depreciado en la versión 67 del pasado mayo. Un estándar de seguridad IETF diseñado para contrarrestar la suplantación del certificado digital, el problema de HPKP no fue tanto la obsolescencia si no las dudas sobre los problemas imprevistos que puede causar. Por lo que su aceptación fue baja.
También está en la cuerda floja FTP, al que Google considera un protocolo heredado del que es hora de migrar. La última versión solo mostrará listados de carpetas, sin descargar nada más.
Un interesante cambio es la integración de la API WebAuthn para permitir a los usuarios identificarse utilizando llaves FIDO U2F y Windows Hello. Aunque por ahora no está por defecto, y ninguna de las webs principales ofrece WebAuthn a no ser como período de pruebas, es un paso necesario para establecerlo por defecto en el futuro.
Actualizaciones de seguridad
Chrome 72 soluciona 58 CVE, incluyendo 17 calificadas como de importancia alta y una crítica, identificada como CVE-2019-5754 y descrita como una “implementación inapropiada en QUIC Networking”.
Continuando con su planificación cada seis semanas, la próxima versión, Chorme 73, saldrá el 12 de marzo y la versión 74 el 23 de abril.
Como parte de esta actualización Chrome avisará a los usuarios cuando visiten URLs creadas para parecerse a páginas populares.
Firefox 65
Nuestro blog Corporativo,Naked Security, ya ha cubierto la nueva función para bloquear contenido en Firefox 65, pero esta versión también soluciona siete CVE, incluyendo tres calificadas como “críticas” y dos “altas”.
Las críticas incluyen CVE-2018-18500 (descubierta por el experto de SophosLabs Yaniv Frank), que se trata de una vulnerabilidad de HTML5 en conjunción con algunos elementos personalizados de HTML.
También se solucionan CVE-2018-18501 y CVE-2018-18502, ambas vulnerabilidades en la memoria y CVE-2018-18504, un problema con la corrupción de la memoria, y CVE-2018-18505 una escalada de privilegios que afecta a la autenticación Inter-process Communication (IPC).
Continuando con el tema de la memoria, las versiones para Linux, macOS y Android obtienen protección contra “stack smashing”, que un atacante puede utilizar para tomar el control de los procesos del navegador.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: