Vulnerabilidad afecta a todos los browsers

por

Y no solo a los browsers

Los investigadores Jeremiah Grossman y Robert Hansen tenían lista la presentación que harían en la Open Web Application Security Project (OWASP) sobre un fenómeno que descubrieron y que permite efectuar lo que en jerga web se denomina Clickjacking.

El clickjacking es cuando involuntariamente te hacen pinchar en un link, un acto cuya gravedad depende en gran medida del sitio al cual te lleven. Cuando les contamos sobre vulnerabilidades de “sitios maliciosos” y ustedes se preguntan cómo hacen los malhechores para llevar gente a esos sitios pues, esa es la respuesta, con clickjacking.

Pero volvamos al tema. Grossman y Hansen descubrieron que esta vulnerabilidad afecta a todos los browsers y no sólo a éstos sino también a un producto de Adobe (suena como Acrobat Reader, creo yo) y lo peor es que no hay manera de prevenirlo. Por lo anterior, finalmente decidieron guardarse la información y no revelar algo que de otro modo hoy mismo estarían aprovechando.

La información es muy escasa y suponemos que al menos la gente de Microsoft, Mozilla, Adobe, Opera, Apple, Google y, en fin, todos los browsers menos Lynx, están más enterados del tema. Sólo sabemos que es un fallo inherente al funcionamiento de todos los browsers actuales, que no se puede prevenir desactivando el javascript, que no es detectado por los softwares que previenen cross-site scripting (porque ocurre en el mismo documento) y que todavía no se les ocurre cómo explotarlo porque es algo bien elaborado o, como dicen los gringos, far fetched.

Asi que quédense tranquilos: todos estamos en peligro, nadie sabe cómo ni por qué ni si acaso tiene arreglo. Genial.

fuente: Ars Technica