• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Chrome, Firefox vulnerables al clickjacking

    Chrome, Firefox vulnerables al clickjacking Investigadores de seguridad han descubierto una falla que afecta a navegador Chrome de Google que lo expone al 'secuestro de clic' o clickjacking - donde un atacante secuestra funciones del ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Atención Chrome, Firefox vulnerables al clickjacking

      Chrome, Firefox vulnerables al clickjacking

      Investigadores de seguridad han descubierto una falla que afecta a navegador Chrome de Google que lo expone al 'secuestro de clic' o clickjacking - donde un atacante secuestra funciones del navegador reemplazando enlaces legítimos por otros elegidos por el atacante.

      Google ha reconocido la falla y está trabajando para emparchar las versiones de Chrome 1.0.154.43 y anteriores cuando corren en sistemas Windows XP SP 2, según el investigador de seguridad de SecNiche Aditya K Sood.

      Sood divulgó la falla el 27 de enero y entonces publicó una prueba de concepto en el foro de divulgación de vulnerabilidades de Bugtraq.

      "Los atacantes pueden engañar a los usuarios para realizar acciones que los usuarios nunca quisieron hacer y no hay manera de ubicar luego esas acciones, una vez que el usuario se autentificó en la otra página," dice Sood en su nota de divulgación.

      Mientras Google está trabajando en un arreglo, un portavoz de la compañía en Australia señaló que el clickjacking afecta a todos los navegadores, no solo al Chrome.

      "El problema [clickjacking] está ligado con la formar de trabajar en que la web y las páginas web fueron diseñadas, y entonces no hay un arreglo sencillo para ningún navegador en particular. Estamos trabajando con otros jugadores para llegar a una forma de enfoque de la mitigación de largo plazo estandarizada," dijo.

      Sin embargo, el investigador independiente, CEO de la consultora australiana de seguridad Novologica, Nishad Herath, le dijo a ZDNet.com.au que después de correr la prueba de conepto de Sood encontraron que el Internet Explorer 8 (versiones release candidate 1 y beta 2) y el Opera 9.63 (la ultima versión) no estaban expuestos a la falla. Pero, tal como el Chrome, el Firefox 3.0.5 también está expuesto.

      Los investigadores de seguridad de Google no han encontrado ningún ataque de esta vulnerabilidad específica que esté siendo explotado de forma activa, dijo el portavoz de Google.

      El clickjacking es un ataque al navegador relativamente nuevo que los investigadores Robert Hansen y Jeremiah Grossman presentaron a finales del año pasado en la conferencia de seguridad OWASP en Nueva York. El ataque encaja perfectamente dentro de la categoría de falsificaciones XSS, en donde un atacante usa maliciosamente código preparado de HTML o de JavaScript que fuerza al navegador de la víctima para enviar requerimientos HTTP a un sitio de su elección.


      "El clickjacking significa que cualquier interacción que uno tenga con un sitio web en el que esté por ejemplo cuando hace clic en un enlace, puede no hacer lo que uno esperaba," explicó Herath.

      "Podría hacer clic en un enlace que parece que apunta a una imagen de Flickr, pero en realidad, primero lo dirigirá a un servidor de descarga conducida (drive-by-download) que contiene malware. Este tipo de ataques pueden ser usados cuando se interactúa con servicios web en los que uno ya se ha validado de formas en las que uno nunca hubiera querido, sin siquiera uno sabe que sucedió eso."

      Origen

      Dejo a demas constancia de que en Firefox una solución factible a este problema seria instalar el componente bloqueador de código activo NoScript
      Última edición por Herrante fecha: 02/02/09 a las 20:37:01
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Re: Chrome, Firefox vulnerables al clickjacking

      Uff menos mal que me cambie a opera. ¿Pòr cierto esto no afecta a opera o solo es a firefox y a chrome?.

      Saludos

    3. #3
      Ex-Colaboradora Avatar de Maggots_1
      Registrado
      oct 2008
      Ubicación
      >>> Cr., Mvd, U
      Mensajes
      1.450

      Re: Chrome, Firefox vulnerables al clickjacking

      Cita Originalmente publicado por HERRANTE Ver Mensaje
      Investigadores de seguridad han descubierto una falla que afecta a navegador Chrome de Google que lo expone al 'secuestro de clic' o clickjacking - donde un atacante secuestra funciones del navegador reemplazando enlaces legítimos por otros elegidos por el atacante.

      Google ha reconocido la falla y está trabajando para emparchar las versiones de Chrome 1.0.154.43 y anteriores cuando corren en sistemas Windows XP SP 2, según el investigador de seguridad de SecNiche Aditya K Sood.
      No uso este navegador hasta no verlo mas estable , hace poco salió de la versión beta y como es esperado tiene muchisimos errores (igual no en este caso en particular, por que por lo visto afecta a todos en conjunto)

      Cita Originalmente publicado por HERRANTE Ver Mensaje
      Mientras Google está trabajando en un arreglo, un portavoz de la compañía en Australia señaló que el clickjacking afecta a todos los navegadores, no solo al Chrome.

      "El problema [clickjacking] está ligado con la formar de trabajar en que la web y las páginas web fueron diseñadas, y entonces no hay un arreglo sencillo para ningún navegador en particular.
      Así que creo que Lo mas importante por ahora es tener los navegadores que usemos actualizados
      (aunque en si no es solucion),
      Uso Firefox y Opera, Con Firefox voy a instalar el bloqueador

      Saludos

    4. #4
      Usuario Avatar de Bi9oX_LDA
      Registrado
      ene 2008
      Ubicación
      Chile
      Mensajes
      41

      Re: Chrome, Firefox vulnerables al clickjacking

      Gracias por la Noticia, a tener cuidado