Un fallo de seguridad afecta a todos los navegadores
La gente de Secunia ha descubierto una vulnerabilidad que afecta a, al menos, todos los navegadores con una cuota de mercado significativa, esto es Internet Explorer, Mozilla/Firefox, Opera, Netscape, Konqueror y Safari. Hay una prueba de concepto disponible para todos ellos.
El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.
Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:
En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.
Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.
El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.
Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:
- La prueba de concepto intenta eliminar la barra de estado. En Firefox 1.0 (en la configuración por defecto) no es posible eliminarla.
- Se intenta eliminar también la barra de direcciones (esto evitaría la necesidad de otra vulnerabilidad para falsificarla). Es posible configurar Firefox de manera que ésto tampoco sea posible.
- En páginas seguras (que son los objetivos más jugosos para este tipo de engaños) Firefox muestra en la barra de estado (que, recordemos, no es posible eliminar) dónde estamos realmente, aunque haya desaparecido nuestra barra de direcciones.
- La costumbre de usar el botón central del ratón para abrir todo en nuevas pestañas (algo que se vuelve autómatico al poco de usar Firefox) ocasiona que la prueba de concepto no funcione. Aunque me da la impresión de que el código malicioso puede mejorarse sin muchas dificultades para que funcione con pestañas, en principio no se ha tenido en cuenta el uso de éstas, y sólo Internet Explorer carece de ellas.
- Firefox 1.0 no tiene ningún otro fallo de seguridad conocido con el que combinar éste para mejorar el engaño. Internet Explorer tiene al menos otros 10 que permiten hacerlo casi perfecto.
En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.
Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.
1 comentario
king neptunes -