• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Investigadores alertan por vulnerabilidad que afecta a todos los navegadores.

    Los investigadores están comenzado a sonar una alarma por lo que parece ser un nuevo tipo de vulnerabilidad/amenaza del navegador que afecta a la mayoría de las plataformas - Microsoft Internet Explorer, Mozilla Firefox, Apple ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Investigadores alertan por vulnerabilidad que afecta a todos los navegadores.



      Los investigadores están comenzado a sonar una alarma por lo que parece ser un nuevo tipo de vulnerabilidad/amenaza del navegador que afecta a la mayoría de las plataformas - Microsoft Internet Explorer, Mozilla Firefox, Apple Safari, Opera y Adobe Flash.

      La amenaza, denominada Clickjaking (secuestro de click), se iba a discutir en la conferencia OWASP NYC AppSec 2008, pero a pedido de Adobe y otros proveedores afectados, la charla ha sido pospuesta hasta que se tenga listo un arreglo completo.

      Los dos investigadores detrás del descubrimiento - Robert "RSnake" Hansen y Jeremiah Grossman han publicado una pizca de información para resaltar la severidad de este tema.

      Así que. ¿de que se trata exactamente el "Clickjacking"?

      "Desgraciadamente, los que sacamos de los temas que encontramos no fue algo un poco malo, fue algo muy malo. Tan malo, de hecho, que nos sentimos impulsados a divulgarlo responsablemente. Uno de los temas lleva a otro y a otro y puf - tenemos al menos dos y probablemente más parches de proveedores por venir en una fecha aun no determinada. Y sólo trabajamos con unos pocos proveedores. Así que... esto es bastante."

      Según alguien que asistió a una presentación parcialmente restringida de OWASP, el tema efectivamente es de "día cero", afecta a todos los navegadores y no tiene nada que ver con JavaScript:

      En pocas palabras, se trata de cuando uno visita un sitio malicioso y el atacante es capaz de tomar control de los vínculos que nuestro navegador visita. El problema afecta a todos los distintos navegadores con excepción los Lynxv o similares . El asunto no tiene nada que ver con JavaScript así que deshabilitar el JavaScript en el navegador no ayudará. Es una falla fundamental de la forma que trabaja el navegador y no puede ser resuelto con un parche sencillo. Con esta vulnerabilidad, una vez que uno está en la pagina web maliciosa, el chico malo puede forzarlo a hacer clic en cualquier vínculo, cualquier botón, o en cualquier cosa de la página sin que ni siquiera uno vea que está sucediendo.

      Si esto no le resulta suficientemente horrible, considere que el usuario final promedio no tendrá idea de lo que está pasando durante un ataque "Clickjack".

      Ebay, por ejemplo, podría ser vulnerable a esto ya que uno puede incrustar javascript dentro de la pagina web, aunque, no se requiere javascript para abusar de esto. "Lo facilita de muchas maneras, pero no es necesario". Use Lynx para protegerse y no ejecute nada dinámico. Puede rellenar formularios o cosas parecidas. La vulnerabilidad necesita DHTML. No permitir que le pongan 'frames' (marcos, código con 'frames') evitará "clickjacking" a través de dominios (cross-domain clickjacking), pero aun así un atacante podrá forzarlo a hacer clic en cualquier vínculo su página. Cada clic del usuario equivale a un clic de "clickjacking" así que algo como un juego hecho con flash es un cebo perfecto.

      Según Hansen, el escenario de la amenaza ha sido discutido tanto con Microsoft como con Mozilla y ambos coinciden independientemente en que este es un problema difícil que no tiene usa solución sencilla por el momento.

      Grossman confirmó que las ultimas versiones de Internet Explorer (incluyendo la versión 8) y el Firefox 3 están afectados.

      Mientras tanto, el único arreglo posible es deshabilitar el scripting y los plugins en el navegador. Nos damos cuenta que no es suficiente detalle técnico por ahora, pero es lo mejor que podemos hacer por el momento.

      La solución al problema

      Resulta interesante leer de quienes descubrieron el "Clickjacking" como aun cuando se preparaban para exponer ese tema en la conferencia anual de OWASP , lo discutieron entre ellos y decidieron no presentar esa charla ni divulgar mas detalles. (al menos por el momento)

      "Así que después hablarlo bastante optamos por retirar nuestra exposición voluntariamente, debido a la extremadamente neutralizada información que tenemos para compartir. Preferimos compartir la que descubrimos en su totalidad cuando pueda ser discutido abiertamente en lugar de hablar de apenas unos detalles que no disminuirán el peligro de la falla. Seguirán habiendo agujeros en muchos sitios web debido a este problema aun después que los próximos parches estén disponibles, pero preferimos que algunos de los problemas críticos estén solucionados antes de hacer una exposición publica.(del problema)".

      Fuente
      Última edición por Velcro fecha: 28/09/08 a las 23:53:25

    2. #2
      Usuario Avatar de Kurt is alive!!
      Registrado
      ago 2008
      Ubicación
      En el cielo, al lado de hendrix XD
      Mensajes
      800

      Re: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores.

      Que problemon, el Chrome sera inmune a esto? porque en la noticia no lo nombran

    3. #3
      Usuario Avatar de FeReDx
      Registrado
      ene 2008
      Ubicación
      Peru
      Mensajes
      13

      Re: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores.

      auch ... ni siquiera el amado opera se salva...uh los minijuegos en flash...que peligrosas se ponen las calles en internet

    4. #4
      Usuario Avatar de Agrevio
      Registrado
      oct 2007
      Ubicación
      Peru
      Mensajes
      1.560

      Re: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores.

      Pues gracias por la info amigo Velcro, pues yo creo que nunca va a ser seguro el navegar por internet...!! y siempre hay y habrá gente que siga bsucando vulnerabilidades para aprovecharlas...!!

      Saludos...!!