Vulnerabilidades para todos
En el día de ayer se hicieron públicos varios fallos de seguridad de distinta gravedad que afectan a (casi) todos los navegadores.
Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.
Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.
De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.
El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.
Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.
Por un lado, todos los navegadores que usan pestañas tienen un problema con el foco de los formularios web que se puede usar para intentar confundir a un usuario para que entregue su contraseña en un sitio malicioso pensando que está en un sitio seguro. Diversas variables, como abrir una pestaña mucho antes de tener intención de visitarla o abrir las pestañas al fondo por defecto, pueden minimizar la posibilidad de que el engaño sea efectivo. Hay más detalles y una prueba de concepto inofensiva en Secunia.
Éste es un problema principalmente del estándar javascript que da demasiado poder al webmaster (no es la primera vez que me quejo de ésto). Hace unos años Internet era un sitio más seguro y el lenguaje javascript cumplía su función, pero se está quedando obsoleto a pasos agigantados. Cada vez son más los navegadores que permiten bloquear varias funciones de javascript que hoy en día son claramente peligrosas, aunque en su momento tenían su papel y nadie pensó en los malos usos que podía dárseles, eran otros tiempos.
De entre los navegadores afectados, en el momento de escribir ésto, sólo Konqueror tiene ya corregido el problema en una versión considerada estable (en su versión 3.3.1, del 12 octubre), los navegadores Mozilla y Firefox tienen una solución que ya ha sido incluida en la rama Aviary, pero no hay todavía parches ni nuevas versiones oficiales que la incluyan (aunque es posible que ya esté incluida en las nightlies); en otros navegadores afectados, como Opera, Safari, Avant Browser o Maxthom no es posible saber cómo de avanzado tienen el arreglo (si es que tienen uno), dado que su desarrollo es cerrado, pero no ha habido anuncios oficiales de parches por parte de ninguno de ellos.
El problema que afecta a Internet Explorer, para variar, es mucho más grave y permite de hecho hacerse con el control de un equipo de forma remota. Se basa en una variación del ataque sobre las zonas de seguridad de Internet Explorer al hacer el movimiento de arrastrar y soltar sobre cualquier objeto de una página web, que fue parcheada la semana pasada por Microsoft. Y como decía entonces, era previsible, pues los fallos de este tipo son una constante en el navegador de Microsoft. El problema afecta a todas las versiones de Windows, incluido XP con Service Pack 2. Los detalles pueden leerse en español en VSAntivirus.
Los que salen peor parados son los navegadores basados en Internet Explorer como Maxthom (antes conocido como MyIE2) y Avant Browser, pues tienen fallos derivados de su funcionalidad mejorada (al estilo de navegadores modernos como Firefox u Opera) a la vez que comparten los graves problemas de seguridad de IE.
1 comentario
cvander -