La falla es casi con seguridad la de la extensión Workflowy. Es responsabilidad del desarrollador de la extensión asegurarse de que sus extensiones sean seguras y evitar la introducción de errores como las vulnerabilidades XSS en sus extensiones.
Las vulnerabilidades de XSS son comunes en las extensiones del navegador. Es fácil para los desarrolladores de extensiones arruinar e introducir una vulnerabilidad XSS, y los desarrolladores de extensiones a menudo no están enfocados principalmente en la seguridad y pueden no estar muy conscientes de los problemas de seguridad, por lo que las vulnerabilidades de seguridad en las extensiones del navegador son comunes.
En realidad, Chrome está a la vanguardia del desarrollo de mitigaciones contra este tipo de vulnerabilidades. Si bien la responsabilidad es en última instancia con el desarrollador de extensiones, Chrome recientemente introdujo < a href="http://developer.chrome.com/extensions/contentSecurityPolicy.html"> mitigaciones poderosas que hacen que las vulnerabilidades de XSS en nuevas extensiones sean menos probables . Estas mitigaciones se basan en la restricción de extensiones, utilizando una Política de seguridad de contenido, de manera que ayude a prevenir las vulnerabilidades de XSS.
Por razones de compatibilidad con versiones anteriores, las nuevas restricciones solo se aplican a las nuevas extensiones. Tomará algún tiempo para que estas nuevas defensas se introduzcan por completo. Dicho esto, este es un gran desarrollo. Realmente ayudará a proteger a los usuarios. Espero que otros navegadores sigan su ejemplo.
Para más información sobre este tema, aquí hay un documento de investigación reciente sobre este tema:
Algunos resultados de la muestra del documento:
-
Un análisis de 100 extensiones de Chrome seleccionadas al azar encontró que el 40% de las extensiones de Chrome tenían al menos una vulnerabilidad de seguridad.
-
El mismo análisis también encontró que las nuevas defensas de Chrome deberían eliminar el 94% de las vulnerabilidades más graves.
Consulte también una publicación de blog que resume los hallazgos del documento , y otro seguimiento .