Los navegadores Firefox 2 de Mozilla y el Internet Explorer 7 de Microsoft son vulnerables debido a un defecto, lo que podría permitir que atacantes roben contraseñas. Robert Chapin descubrió la vulnerabilidad que permite a hackers (expertos en telecomunicaciones y tecnologías de la información) comprometer contraseñas y nombres de usuarios presentando formularios de acceso falsos.
El Administrador de Contraseñas de Firefox anotará de forma automática cualquier contraseña o nombre de usuario guardado en el formulario. Los datos son enviados de forma automática a la computadora del atacante sin que el usuario tenga conocimiento de lo que esta ocurriendo, según informes del sitio Chapin Information Services.
Ataques que explotan el defecto se han visto en MySpace.com, pero podría afectar a cualquiera que utilice un blog (sitio en Internet que recopila textos o artículos de diversos autores) o un foro, es decir, que permita que usuarios añadan código HTML generado por ellos mismos.Chapin advierte que “Usuarios tanto de Internet Explorer como de Firefox necesitan estar enterados de que su información puede ser robada de esta forma cuando visitan sitios en Internet de blogs o foros con direcciones de confianza”.
Netcraft fue la compañía que descubrió que el defecto era explotado en MySpace, a través de una página de acceso falsa hospedada en los servidores de la misma compañía.El ataque fue lanzado desde una página de perfil, y fue utilizado HTML elaborado especialmente para ocultar contenido auténtico de MySpace, en lugar de mostrar su propio formulario de acceso.Una petición inversa de sitio cruzado (RCSR) tiene muchas posibilidades de éxito debido a que los navegadores Internet Explorer y Firefox no verifican el destino de los datos en los formularios antes de que el usuario los envíe. Los navegadores no mandan ninguna señal de alerta debido a que el ataque es llevado a cabo en sitios que son de confianza.Secunia, compañía de seguridad, exhortó a usuarios para que deshabilitaran la opción en las preferencias del navegador Firefox “Recuerda contraseñas de sitios”.
De acuerdo a Chapin Information Services “Estos ataques podrían ser altamente efectivos en contra de servidores de red local con cortafuegos [firewall] y direcciones HTTPS que no son accesibles de otro modo debido a que el atacante no necesita acceso directo”.
FUENTE:http://news.zdnet.com/2100-1009_22-6137844.html
No hay comentarios:
Publicar un comentario