Error en manejo del cursor del mouse en Internet Explorer permite rastrear los movimientos
Investigadores de Spider.io han descubierto un agujero de seguridad en Internet Explorer, que permite rastrear los movimientos del cursor del mouse, incluso si la ventana está inactiva, minimizada o fuera de foco. Las versiones de IE 6 a 10 se ven afectadas.
Según Spider,la vulnerabilidad el error es particularmente preocupante dado que desbarata el uso de teclados virtuales y teclados virtual, que se utilizan como defensa contra los keyloggers.
Spider.io ha publicado un breve video donde se demuestra el problema descubierto el primero de octubre e informanda a la empresa.
Microsoft Security Research Center reconoció el error, pero "no tiene planes inmediatos para remediar el problema", así que Spider.io la hizo pública el martes.
Al parecer, la vulnerabilidad está siendo activamente explotada por al menos dos compañías de análisis y rastreo web.
Para demostrar lo fácil que es explotar la vulnerabilidad, spider.io ha convertido el seguimiento en un juego, que consiste en obtener información a partir del uso de un teclado virtual, a través del seguimiento de los movimientos del mouse.
Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, combinado con la capacidad para activar estos eventos manualmente a través del método fireEvent(), manipulable por JavaScript.
A primera vista, se trataría de una vulnerabilidad grave. Sin embargo, Microsoft asegura que el problema radica más bien en un enfrentamiento entre empresas que compiten entre sí por la publicidad online, que sobre la seguridad y protección de datos personales de los usuarios de su navegador.
Actualización: Dean Hachamovitch, del blog oficial de Internet Explorer, escribe que "trabajamos activamente para adaptar esta característica de IE. Otros navegadores ofrecen funcionalidad equivalente. Las empresas dedicadas a los rótulos publicitarios esperan que la detección del puntero del ratón funcione en Internet Explorer de la misma forma que en otros navegadores".
Adicionalmente Dan Kaminsky opina que "efectivamente hay un error en los eventos de mouse, pero no es particularmente significativa. ¿Qué puede hacer hoy un atacante, que no podía hacer ayer?"
Cristian de la Redacción de Segu-Info
Según Spider,
Spider.io ha publicado un breve video donde se demuestra el problema descubierto el primero de octubre e informanda a la empresa.
Microsoft Security Research Center reconoció el error, pero "no tiene planes inmediatos para remediar el problema", así que Spider.io la hizo pública el martes.
Al parecer, la vulnerabilidad está siendo activamente explotada por al menos dos compañías de análisis y rastreo web.
Para demostrar lo fácil que es explotar la vulnerabilidad, spider.io ha convertido el seguimiento en un juego, que consiste en obtener información a partir del uso de un teclado virtual, a través del seguimiento de los movimientos del mouse.
Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, combinado con la capacidad para activar estos eventos manualmente a través del método fireEvent(), manipulable por JavaScript.
A primera vista, se trataría de una vulnerabilidad grave. Sin embargo, Microsoft asegura que el problema radica más bien en un enfrentamiento entre empresas que compiten entre sí por la publicidad online, que sobre la seguridad y protección de datos personales de los usuarios de su navegador.
Actualización: Dean Hachamovitch, del blog oficial de Internet Explorer, escribe que "trabajamos activamente para adaptar esta característica de IE. Otros navegadores ofrecen funcionalidad equivalente. Las empresas dedicadas a los rótulos publicitarios esperan que la detección del puntero del ratón funcione en Internet Explorer de la misma forma que en otros navegadores".
Adicionalmente Dan Kaminsky opina que "efectivamente hay un error en los eventos de mouse, pero no es particularmente significativa. ¿Qué puede hacer hoy un atacante, que no podía hacer ayer?"
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!