Vulnerabilidad Local de Extensiones de Chrome: Escape de Sandbox
Se ha descubierto una vulnerabilidad crítica de seguridad en las extensiones de Chrome. Las extensiones maliciosas pueden comunicarse con servidores del Protocolo de Contexto de Modelo (MCP) que se ejecutan localmente, eludiendo el sandbox de Chrome y accediendo a recursos sensibles como el sistema de archivos local, Slack, WhatsApp y, potencialmente, logrando el control total del host. Esta vulnerabilidad afecta a cualquier extensión de Chrome sin necesidad de permisos especiales. La causa raíz es la falta común de autenticación en los servidores MCP, lo que permite el acceso no autenticado. Los investigadores demostraron el acceso al sistema de archivos y a Slack. Esto destaca la necesidad urgente de una seguridad mejorada al ejecutar servidores MCP locales y representa una amenaza significativa para la seguridad empresarial.
Leer más