Poniendose de pie y tomando responsabilidad!
Traducción del articulo de opinion publicado por Secunia en su blog "Security Watchdog": Standing up and taking responsibility!
Dos años despues, una nueva version, y Microsoft sigue dandole poca importancia a esta vulnerabilidad.
http://secunia.com/blog/2/
A finales del mes de Octubre, Secunia hizo publico un aviso describiendo una vulnerabilidad en Internet Explorer 7, la cual parecía ser valida en Internet Explorer 6; que anteriormente en el 2004 había terminado afectando virtualmente a cada navegador en el mercado.
La vulnerabilidad permite a un sitio malicioso cambiar arbitrariamente el contenido de una ventana emergente (Pop-up). Ver ilustración del ataque:
Los usuarios de Internet Explorer deben cambiar la configuración de "Desplazar subtramas a través de dominios distintos" para su protección.
Hoy en día, esta configuración ha sido deshabilitada por defecto en Internet Explorer 7; por un lado esta modificación es buena, pero por otro no lo es, ya que no funciona.
Como en el 2004, Microsoft sigue sin considerarlo una vulnerabilidad; a pesar de que ellos han intentado proteger a los usuarios de esta falla deshabilitando por defecto la "funcionalidad" para "Desplazar subtramas a través de dominios distintos".
Tal como dice Microsoft, la recientemente agregada barra de direcciones siempre visible mitiga un poco esto, pero imaginen este escenario:
- Ingresa a su banca electrónica
- Verifica la autenticidad del certificado SSL del banco
- Entonces hace clic en un enlace, que abre una ventana emergente con un dialogo que solicita sus datos de conexión al sistema.
¿Usted sospecharía que luego de haber hecho clic en el enlace en su banco de confianza que un sitio malicioso que usted tiene abierto en otra ventana podría cambiar el contenido de la ventana emergente?
Probablemente no lo haría.
Aun si la ventana ahora muestra una dirección IP o un dominio similar al de su banca electrónica (Por ejemplo: hb.banco.com.cn en lugar de hb.banco.com).
¿Leería usted realmente la dirección completa en la barra de direcciones, notaría la diferencia y pensaría "Epa! alguien esta tratando de estafarme!"?
Quizás lo haga si es realmente paranoico, la mayoría de la gente no lo hace y fácilmente podría ser engañada.
Si esta "funcionalidad" es realmente requerida en su labor, actívela para interactuar únicamente entre sitios de confianza.
Creemos que Microsoft debería tomar mas responsablemente los errores, debilidades y vulnerabilidades en su navegador para asegurar que realmente este protege a sus usuarios en contra del phishing y ataques similares; ¿no es esto lo que anuncia Microsoft, que IE7 sera mejor en esto que sus predecesores?
Enlaces relacionados:
Standing up and taking responsibility!
http://secunia.com/blog/2/
Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability
http://secunia.com/advisories/22687/
Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/927892.mspx
US-CERT VU#585137:
http://www.kb.cert.org/vuls/id/585137
New, critical Microsoft Windows 0-day appears
http://www.securityfocus.com/brief/348
Thomas Kristensen
CTO Secunia
___
Dos años despues, una nueva version, y Microsoft sigue dandole poca importancia a esta vulnerabilidad.
http://secunia.com/blog/2/
A finales del mes de Octubre, Secunia hizo publico un aviso describiendo una vulnerabilidad en Internet Explorer 7, la cual parecía ser valida en Internet Explorer 6; que anteriormente en el 2004 había terminado afectando virtualmente a cada navegador en el mercado.
La vulnerabilidad permite a un sitio malicioso cambiar arbitrariamente el contenido de una ventana emergente (Pop-up). Ver ilustración del ataque:
Los usuarios de Internet Explorer deben cambiar la configuración de "Desplazar subtramas a través de dominios distintos" para su protección.
Hoy en día, esta configuración ha sido deshabilitada por defecto en Internet Explorer 7; por un lado esta modificación es buena, pero por otro no lo es, ya que no funciona.
Como en el 2004, Microsoft sigue sin considerarlo una vulnerabilidad; a pesar de que ellos han intentado proteger a los usuarios de esta falla deshabilitando por defecto la "funcionalidad" para "Desplazar subtramas a través de dominios distintos".
Tal como dice Microsoft, la recientemente agregada barra de direcciones siempre visible mitiga un poco esto, pero imaginen este escenario:
- Ingresa a su banca electrónica
- Verifica la autenticidad del certificado SSL del banco
- Entonces hace clic en un enlace, que abre una ventana emergente con un dialogo que solicita sus datos de conexión al sistema.
¿Usted sospecharía que luego de haber hecho clic en el enlace en su banco de confianza que un sitio malicioso que usted tiene abierto en otra ventana podría cambiar el contenido de la ventana emergente?
Probablemente no lo haría.
Aun si la ventana ahora muestra una dirección IP o un dominio similar al de su banca electrónica (Por ejemplo: hb.banco.com.cn en lugar de hb.banco.com).
¿Leería usted realmente la dirección completa en la barra de direcciones, notaría la diferencia y pensaría "Epa! alguien esta tratando de estafarme!"?
Quizás lo haga si es realmente paranoico, la mayoría de la gente no lo hace y fácilmente podría ser engañada.
Si esta "funcionalidad" es realmente requerida en su labor, actívela para interactuar únicamente entre sitios de confianza.
Creemos que Microsoft debería tomar mas responsablemente los errores, debilidades y vulnerabilidades en su navegador para asegurar que realmente este protege a sus usuarios en contra del phishing y ataques similares; ¿no es esto lo que anuncia Microsoft, que IE7 sera mejor en esto que sus predecesores?
Enlaces relacionados:
Standing up and taking responsibility!
http://secunia.com/blog/2/
Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability
http://secunia.com/advisories/22687/
Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/927892.mspx
US-CERT VU#585137:
http://www.kb.cert.org/vuls/id/585137
New, critical Microsoft Windows 0-day appears
http://www.securityfocus.com/brief/348
Thomas Kristensen
CTO Secunia
Traducción: Martin Aberastegue
Fuente: http://www.rzw.com.ar/modules.php?name=News&file=article&sid=4215
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!