Mirar el concurso Pwn2Own me hizo pensar:
Si tiene todos los complementos desactivados en un navegador, y todo lo que tiene es HTML, CSS y JavaScript ejecutándose en el navegador, ¿todavía puede infectarse con malware? Supongo que nunca lo pensé mucho, pero ¿cómo es que estos virus pueden "instalarse"? Si desinstalas estos complementos y tu navegador te solicita todas las descargas, deberías estar "seguro", ¿no?
Incluso con solo HTML, CSS y javascript, un atacante o sitio malintencionado podría intentar explotar errores en el navegador que les permitiría explotar una máquina. O cree cuadros de diálogo e intente engañar a un usuario para que permita el permiso para instalar malware. Este fue un ejemplo de que encontré en Google JavaScript y la instalación de malware. Si algo, los complementos crean una superficie de ataque más amplia, pero sin ellos no se elimina la superficie de ataque en relación con el navegador que utiliza. Por ejemplo, si hay una vulnerabilidad del navegador que permite la ejecución remota de código, un sitio web malintencionado podría usar javascript para explotar la vulnerabilidad. Espero que ayude a algunos.
Esencialmente, todas las vulnerabilidades de BROWSER (es decir, no vulnerabilidades en complementos como Java o Flash) implican y dependen de la ejecución de JavaScript (JS). Esto es porque JS es increíblemente poderoso. Cuando visita una página web con JS, está ejecutando el programa de alguien en su computadora. Es su navegador el que interpreta JS y decide qué hacer. Dado que es un lenguaje tan grande, poderoso y complejo, deja mucho espacio para errores en la implementación que potencialmente se convierten en vulnerabilidades.
Se ha aceptado una respuesta aquí, sin embargo, no creo que las respuestas proporcionadas respondan muy bien a la pregunta.
Clásicamente, el activo al que se dirigía el malware era la misma máquina donde se implementaba el malware, pero en un mundo en red, ese ya no es el caso. Si un navegador carga y procesa javascript o incluso simplemente html en algunos casos, puede tener efectos indeseables sin tener que instalarlos o incluso guardarlos en la máquina de la víctima: puede estar apuntando a un servicio en una máquina diferente, por ejemplo,
Tenga en cuenta que el primero y el segundo ni siquiera requieren javascript.
Si el navegador (o complemento) que procesa el malware potencial tiene vulnerabilidades de seguridad, el malware puede explotar estos para dañar el sistema cliente y / o implementarse / desarrollar más malware directamente en el almacenamiento a largo plazo de los clientes.
En primer lugar, un sitio web malicioso puede llenar su disco duro usando localStorage (consulte FillDisk , asegúrese de hacer clic en "detener Haga clic en el botón "esta locura" antes de abandonar el sitio. O no haga clic en ese enlace y solo vea la explicación aquí ). No creo que haya habido casos de malware guardados en una computadora a través de localStorage , ya que los datos se guardan en una pequeña base de datos.
Además de esto, en Chromium / Firefox, un sitio web puede hacer que descargues e instales una extensión / userscript. Primero se le solicita confirmación, pero una vez que se instala la extensión, potencialmente tiene acceso a todos sus datos en todos los sitios (incluidas las contraseñas).
En Chrome, es más difícil forzarte a instalar una extensión, ya que solo puedes instalarlo a través de Chrome Web Store, aunque alguien puede evitarlo mediante un clickjacking inteligente.
Otra cosa que JS puede hacer es lanzar una aplicación (como iTunes o el Centro de software de Ubuntu) a través de un esquema de URL personalizado, y si tiene una aplicación de descarga (o algo que se puede usar como una), esto puede ser explotable. Sin embargo, esto pide confirmación.
Aparte de eso, JS no puede obtener EXEs / etc en su computadora.
Lea otras preguntas en las etiquetas malware javascript attack-vector