2008-07-12 17:08:53

Los navegadores de Internet, vías de amenazas

Nitesh Dhanjani dio a conocer a mediados del mes pasado una vulnerabilidad en Safari (y la forma en que interact√ļa con Windows y OSX) que permite que un usuario malicioso remoto descargue varios archivos a la carpeta de descarga del usuario (Escritorio para Windows y Descargas para OSX).El ataque se ha denominado bombardeo extensivo debido a su potencial de plantar m√ļltiples archivos maliciosos que pueden convertir el PC del usuario en un desorden digital.

Comparta este artículo ‚Äļ

Los navegadores de Internet, vías de amenazas

El investigador de seguridad ha podido demostrar que Safari no solicita el permiso del usuario cuando se descargan los recursos. Creó un sitio Web malicioso de muestra que entregaba iFrames maliciosos. Accedió al sitio usando Safari y descubrió que el navegador descarga automáticamente los archivos varias veces (de ahí el bombardeo extensivo), almacenando copias de éstos en dichas carpetas sin esperar los comandos del usuario o mostrar un cuadro de diálogo que le informe al usuario lo que está sucediendo. El reporte incluye una imagen de pantalla del peligro potencial que la acción de descarga automática puede provocar.

Apple no está considerando esta vulnerabilidad como un problema de seguridad, sino como otra vía para crear una mejora adicional para evitar descargas no deseadas.

El 30 de mayo, Microsoft emiti√≥ una sugerencia de seguridad que recomienda a los usuarios evitar usar Safari hasta que los investigadores hayan analizado el navegador, y hasta que Microsoft o Apple proporcionen las actualizaciones apropiadas. Para los observadores de la rivalidad de Microsoft y Apple, es f√°cil especular sobre los motivos detr√°s de dicha recomendaci√≥n, pero los usuarios no deben perder de vista el problema real: que aunque esta vulnerabilidad existe en el √°rea de POC, le puede dar a los hackers las condiciones que pudieran encontrar √ļtiles para futuros ataques. Se recomienda a los usuarios cambiar la ubicaci√≥n de descarga de archivos al editar las preferencias del usuario en Safari.

Vulnerabilidad descubierta en Firefox 3.0

La Iniciativa de Día Cero de TippingPoint, una organización de investigadores especializados en descubrir y brindar información sobre vulnerabilidades de software, descubrió y dio a conocer el miércoles 18 de junio una vulnerabilidad de nivel alto descubierta en el recientemente anunciado navegador Web Firefox 3.0 de Mozilla. También se descubrió que afecta a las versiones 2.x.x de Firefox.

Mozilla confirma la existencia de la amenaza, pero contradice el nivel dado por Tipping Point, argumentando que la vulnerabilidad representa riesgos mínimos, ya que parte del ciclo de explotación requiere de la interacción del usuario, como dar clic en el enlace de un correo electrónico o visitar sin darse cuenta sitios Web que sean maliciosos, para que la vulnerabilidad sea explotada completamente. Window Zinder, director de seguridad de Mozilla, dice acerca de la vulnerabilidad reportada:

¬ďMozilla agradece cualquier reporte sobre problemas de seguridad ya que esa es la forma c√≥mo hacemos al navegador m√°s fuerte y m√°s seguro. La mejor forma de mantener seguros a los usuarios de Firefox es reportar los problemas directamente a Mozilla como TippingPoing lo ha hecho, y esperar a dar a conocer detalles hasta que est√© disponible una soluci√≥n.

Un investigador, quien pidi√≥ el anonimato, dijo que report√≥ la vulnerabilidad en las primeras cinco horas despu√©s de que se puso a disposici√≥n la versi√≥n m√°s reciente de Firefox para su descarga. Y este incidente no ha escapado al ojo cr√≠tico de los usuarios preocupados por la seguridad, gritando ¬Ďjuego sucio¬í mientras especulan sobre el reporte inoportuno deliberado de dicha vulnerabilidad del navegador que deber√≠a haberse hecho antes de la liberaci√≥n oficial.

En el momento de escribir este reporte, Mozilla a√ļn deb√≠a trabajar en un parche. Trend Micro sugiere a los usuarios de Firefox monitorear esta p√°gina para saber si se hace un anuncio o se emiten recomendaciones que solucionen esta vulnerabilidad, lo que esperamos sea pronto.

Publicidad
Publicada por: JUAN MART√ćNEZ MART√ćNEZ