Encontrada vulnerabilidad seria de XSS en la extensión del navegador DuckDuckGo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El servicio centrado en la privacidad DuckDuckGo ha abordado recientemente una vulnerabilidad grave que afecta a su extensión de navegador DuckDuckGo Privacy Essentials.

Aprovechar esta vulnerabilidad podría permitir a un adversario ejecutar códigos arbitrarios en cualquier dominio.

El investigador de seguridad de la vulnerabilidad de la extensión del navegador DuckDuckGo, Wladimir Palant, encontró problemas de seguridad graves que afectaban al complemento del navegador DuckDuckGo.

Al explicar los detalles en su publicación, Palant mencionó dos problemas distintos con la extensión DuckDuckGo Privacy Essentials. Uno de ellos es una vulnerabilidad de secuencias de comandos entre sitios (XSS) que afecta a todas las versiones principales de la extensión del navegador DuckDuckGo.

Cualquiera que tenga control sobre No tienes permitido ver los links. Registrarse o Entrar a mi cuenta podría aprovechar la falla. Esto incluye el servicio en sí, es decir, DuckDuckGo, el proveedor de alojamiento (Microsoft) o incluso un adversario que logra acceder al servidor.

En segundo lugar, encontró que la extensión utiliza canales inseguros para la comunicación interna que filtra algunos datos entre dominios.
Los detalles técnicos sobre estos problemas están disponibles en la publicación del investigador.

Parches ahora disponibles

Al descubrir las vulnerabilidades, el investigador informó del asunto a DuckDuckGo. En consecuencia, el servicio trabajó en las correcciones para abordar estos problemas.
Luego comenzaron a implementar las actualizaciones gradualmente.

Al principio, DuckDuckGo lanzó la extensión Privacy Essentials versión 2021.2.3 para Google Chrome.
Más tarde, también lanzaron los parches para las versiones de extensión para Mozilla Firefox y Microsoft Edge.
Por lo tanto, los usuarios que ejecutan la última versión de DuckDuckGo Privacy Essentials (v 2021.3.8.) aparentemente están a salvo de cualquier problema que pueda surgir de estos errores.

Mientras que aquellos que todavía usan la versión anterior deben asegurarse de actualizar sus navegadores con la última versión complementaria.

DuckDuckGo Privacy Essentials es una extensión de navegador dedicada, disponible para todos los navegadores principales, como Mozilla Firefox, Google Chrome, Microsoft Edge y otros.

Es una extensión de código abierto que protege a los usuarios de los rastreadores web mientras navegan, refuerza la navegación solo HTTPS y mejora la seguridad sin una recopilación de datos intrusiva al final.

Fuente:
Latest hacking news
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta