Clickjacking




Netmedia
- El CERT de Estados Unidos dijo que esta falla no perdonó a Opera, Firefox, Explorer, Safari ni al nuevo Chrome y que al momento no hay parche.

El Equipo de respuesta a emergencias computacionales de Estados Unidos (US CERT) alertó de una vulnerabilidad que afecta a Explorer de Microsoft, Opera, Firefox de Mozilla, Safari de Apple y a Chrome de Google, en lo que han llamado Clickjacking o secuestro de clics.

“La premisa del clickjacking es lo que sabemos que el malware de JavaScript es capaz de hacer una vez que el usuario tiene contacto con una página Web controlada por un atacante, como robo del historial, hackeo del intranet, phishing con súper carnadas, gusanos Web, explotación del navegador y lo que puede llevarse a cabo con un clic capturado”, dijo en su blog Jeremiah Grossman, fundador y CTO de WhiteHat Security.

En ese sentido y de acuerdo con el US CERT, el clickjacking es posible cuando el usuario da clic en alguna información y éste no es llevado a otro sitio, si no que de hecho está dando clic a contenido de otra página.

El reporte posteado en el blog de Zdnet asegura que este inquietante hueco que afecta a todos los navegadores de Internet y que incluso ya se ha comentado entre los investigadores.

“La amenaza llamada Clickjacking iba a ser discutida en la Conferencia AppSec 2008 en la ciudad de Nueva York, pero por una solicitud de Adobe y de otros proveedores afectados, la charla fue prohibida en tanto estuviera listo un parche”, dijo Ryan Naraine en un post.

El US CERT recomienda que la falla puede ser contrarrestada al deshabilitar el scripting y los plug-ins en un navegador.

El ataque ha sido catalogado como uno muy simple a través del cual el atacante no requiere llevar al usuario a su sitio para infectarlo, sino solamente secuestrar una liga de cualquier página Web a través de cualquier navegador.

De acuerdo con versiones periodísticas, el Flash de Adobe, instalado en la mayoría de los navegadores, puede ser utilizado para el clickjacking.

ACTUALIZACIÓN

En resumen:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames".
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.


+Información:

Clickjacking a fondo y con ejemplos

Prevención en navegadores ante ataques ClickJacking

Comentarios

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Oldies Web