Chrome, Firefox vulnerables al clickjacking
Investigadores de seguridad han descubierto una falla que afecta a navegador Chrome de Google que lo expone al 'secuestro de clic' o clickjacking - donde un atacante secuestra funciones del navegador reemplazando enlaces legítimos por otros elegidos por el atacante.
Google ha reconocido la falla y está trabajando para emparchar las versiones de Chrome 1.0.154.43 y anteriores cuando corren en sistemas Windows XP SP 2, según el investigador de seguridad de SecNiche Aditya K Sood.
Sood divulgó la falla el 27 de enero y entonces publicó una prueba de concepto en el foro de divulgación de vulnerabilidades de Bugtraq.
"Los atacantes pueden engañar a los usuarios para realizar acciones que los usuarios nunca quisieron hacer y no hay manera de ubicar luego esas acciones, una vez que el usuario se autentificó en la otra página," dice Sood en su nota de divulgación.
Mientras Google está trabajando en un arreglo, un portavoz de la compañía en Australia señaló que el clickjacking afecta a todos los navegadores, no solo al Chrome.
"El problema [clickjacking] está ligado con la formar de trabajar en que la web y las páginas web fueron diseñadas, y entonces no hay un arreglo sencillo para ningún navegador en particular. Estamos trabajando con otros jugadores para llegar a una forma de enfoque de la mitigación de largo plazo estandarizada," dijo.
Sin embargo, el investigador independiente, CEO de la consultora australiana de seguridad Novologica, Nishad Herath, le dijo a ZDNet.com.au que después de correr la prueba de conepto de Sood encontraron que el Internet Explorer 8 (versiones release candidate 1 y beta 2) y el Opera 9.63 (la ultima versión) no estaban expuestos a la falla. Pero, tal como el Chrome, el Firefox 3.0.5 también está expuesto.
Los investigadores de seguridad de Google no han encontrado ningún ataque de esta vulnerabilidad específica que esté siendo explotado de forma activa, dijo el portavoz de Google.
El clickjacking es un ataque al navegador relativamente nuevo que los investigadores Robert Hansen y Jeremiah Grossman presentaron a finales del año pasado en la conferencia de seguridad OWASP en Nueva York. El ataque encaja perfectamente dentro de la categoría de falsificaciones XSS, en donde un atacante usa maliciosamente código preparado de HTML o de JavaScript que fuerza al navegador de la víctima para enviar requerimientos HTTP a un sitio de su elección.
"El clickjacking significa que cualquier interacción que uno tenga con un sitio web en el que esté por ejemplo cuando hace clic en un enlace, puede no hacer lo que uno esperaba," explicó Herath.
"Podría hacer clic en un enlace que parece que apunta a una imagen de Flickr, pero en realidad, primero lo dirigirá a un servidor de descarga conducida (drive-by-download) que contiene malware. Este tipo de ataques pueden ser usados cuando se interactúa con servicios web en los que uno ya se ha validado de formas en las que uno nunca hubiera querido, sin siquiera uno sabe que sucedió eso."
Traducido para blog de Segu-info por Raúl Batista
Autor: Liam Tung de ZDNet Australia
Fuente: www.zdnet.com.au
Más información
Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores
¿Clickjacking con Firefox y NoScript instalado?
Protección contra ClickJacking en navegadores
ClickJacking, nueva técnica de ataque a través de navegadores web
Google ha reconocido la falla y está trabajando para emparchar las versiones de Chrome 1.0.154.43 y anteriores cuando corren en sistemas Windows XP SP 2, según el investigador de seguridad de SecNiche Aditya K Sood.
Sood divulgó la falla el 27 de enero y entonces publicó una prueba de concepto en el foro de divulgación de vulnerabilidades de Bugtraq.
"Los atacantes pueden engañar a los usuarios para realizar acciones que los usuarios nunca quisieron hacer y no hay manera de ubicar luego esas acciones, una vez que el usuario se autentificó en la otra página," dice Sood en su nota de divulgación.
Mientras Google está trabajando en un arreglo, un portavoz de la compañía en Australia señaló que el clickjacking afecta a todos los navegadores, no solo al Chrome.
"El problema [clickjacking] está ligado con la formar de trabajar en que la web y las páginas web fueron diseñadas, y entonces no hay un arreglo sencillo para ningún navegador en particular. Estamos trabajando con otros jugadores para llegar a una forma de enfoque de la mitigación de largo plazo estandarizada," dijo.
Sin embargo, el investigador independiente, CEO de la consultora australiana de seguridad Novologica, Nishad Herath, le dijo a ZDNet.com.au que después de correr la prueba de conepto de Sood encontraron que el Internet Explorer 8 (versiones release candidate 1 y beta 2) y el Opera 9.63 (la ultima versión) no estaban expuestos a la falla. Pero, tal como el Chrome, el Firefox 3.0.5 también está expuesto.
Los investigadores de seguridad de Google no han encontrado ningún ataque de esta vulnerabilidad específica que esté siendo explotado de forma activa, dijo el portavoz de Google.
El clickjacking es un ataque al navegador relativamente nuevo que los investigadores Robert Hansen y Jeremiah Grossman presentaron a finales del año pasado en la conferencia de seguridad OWASP en Nueva York. El ataque encaja perfectamente dentro de la categoría de falsificaciones XSS, en donde un atacante usa maliciosamente código preparado de HTML o de JavaScript que fuerza al navegador de la víctima para enviar requerimientos HTTP a un sitio de su elección.
"El clickjacking significa que cualquier interacción que uno tenga con un sitio web en el que esté por ejemplo cuando hace clic en un enlace, puede no hacer lo que uno esperaba," explicó Herath.
"Podría hacer clic en un enlace que parece que apunta a una imagen de Flickr, pero en realidad, primero lo dirigirá a un servidor de descarga conducida (drive-by-download) que contiene malware. Este tipo de ataques pueden ser usados cuando se interactúa con servicios web en los que uno ya se ha validado de formas en las que uno nunca hubiera querido, sin siquiera uno sabe que sucedió eso."
Traducido para blog de Segu-info por Raúl Batista
Autor: Liam Tung de ZDNet Australia
Fuente: www.zdnet.com.au
Más información
Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores
¿Clickjacking con Firefox y NoScript instalado?
Protección contra ClickJacking en navegadores
ClickJacking, nueva técnica de ataque a través de navegadores web
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!