O Google anunciou uma atualização significativa no Chrome que corrige uma vulnerabilidade presente há 23 anos, conhecida como “browser history sniffing”. Essa falha permitia que sites mal-intencionados acessassem o histórico de navegação dos usuários explorando uma característica do CSS.
Entendendo a vulnerabilidade “browser history sniffing”
Tradicionalmente, navegadores utilizam o seletor CSS “:visited” para alterar a aparência de links já acessados, geralmente mudando sua cor para roxo. Essa funcionalidade, embora útil para a experiência do usuário, abriu margem para que scripts maliciosos identificassem quais sites haviam sido visitados, verificando a cor dos links por meio de funções como “window.getComputedStyle”.
A solução implementada pelo Google
Para mitigar essa vulnerabilidade, o Chrome introduziu o “partitioning” do histórico de navegação. Com essa abordagem, os links visitados são armazenados em compartimentos separados, baseados na URL específica do link, no domínio principal do site e na origem do frame onde o link é exibido. Isso significa que um script só poderá verificar links visitados dentro do mesmo domínio onde está hospedado, impedindo a exposição do histórico de navegação em outros sites.
Impacto e disponibilidade da atualização
A correção está disponível a partir da versão 136 do Chrome, tornando-o o primeiro navegador a eliminar completamente essa vulnerabilidade de longa data. Usuários são aconselhados a atualizar para a versão mais recente para garantir maior privacidade e segurança durante a navegação.
Conclusão
A resolução dessa vulnerabilidade histórica demonstra o compromisso contínuo do Google em aprimorar a segurança e a privacidade dos usuários do Chrome. Essa atualização reforça a importância de manter os navegadores atualizados para se proteger contra ameaças emergentes e garantir uma experiência de navegação segura.
Fontes:
The Register, Cyber Security News, Security Online Info