Conecta con nosotros

Noticias

Yahoo! revela su clave privada en la extensión Axis para Chrome

Publicado el

Yahoo! revela su clave privada en la extensión Axis para Chrome 69

Yahoo! revela su clave privada en la extensión Axis para Chrome 71

Yahoo! ha lanzado esta semana al mercado el nuevo navegador web Axis que puede funcionar como navegador o como extensión para desarrollos de terceros, como el Chrome de Google, donde se ha descubierto un grave error de programación al publicar Yahoo! su clave privada.

Esta clave se usa como certificado para firmar aplicaciones y autenticación de la legitimidad de su procedencia. Su conocimiento permitiría a un atacante crear una extensión maliciosa que el navegador, en este caso Chrome que la trataría como auténtica.

El error fue descubierto por el hacker Nik Cubrilovic que lo trasladó a Yahoo! y preparó una prueba de concepto usando el fallo para demostrar su vulnerabilidad.

La recomendación es obvia, no usar la extensión Axis para Chrome hasta que Yahoo! publique una nueva versión revocando su clave privada. El resto de extensiones de Axis y la aplicación cliente para Windows, Mac o iOS pueden utilizarse sin problema alguno.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído