CVE-2024-38526 – EL ATAQUE EN CADENA!
.
El código polyfill se genera dinámicamente en función de los encabezados HTTP, lo que permite múltiples vectores de ataque.
Recienemente, mientras se mudaba el dominio de pollifill se inyecto codigo malicioso que solo en mobiles inducia visitar paginas deportivas de apuestas. https://web.archive.org/web/20240229113710/https:/github.com/polyfillpolyfill/polyfill-service/issues/2834#issuecomment-1963842875
El código tiene protección específica contra ingeniería inversa y solo se activa en dispositivos móviles específicos en horas específicas. Tampoco se activa cuando detecta un usuario administrador. También retrasa la ejecución cuando se encuentra un servicio de análisis web, presumiblemente para no aparecer en las estadísticas.
Donde esta la trampa?
Umm que raro: El autor original de Polyfill recomienda no utilizar Polyfill en absoluto, ya que de todos modos ya no es necesario para los navegadores modernos.
Esto sucede justo justo justo cuando se hace loa migracion de el dominio el cual el autor original no cuidaba ni mantenia.
Las compañias especialmente la chinas necesitan que se usen siempre las tecnicas mas modernas para que asi los navegadores mas viejos no se usen y por tanto no se use nunca equipos viejos..
ummm sosopechoso.. me huele a desprestigiar algo para ganar terreno!
Comentarios
Publicar un comentario