Vulnerabilidad en Internet Explorer y Safari será publicada por la pasividad de sus fabricantes

Publicado el 30 julio 2010 ¬ 21:24 pmh.mscComentarios desactivados en Vulnerabilidad en Internet Explorer y Safari será publicada por la pasividad de sus fabricantes

En la conferencia sobre seguridad Black Hat, Jeremiah Grossman explicará y publicará una vulnerabilidad que afecta a los navegadores Safari (versiones 4 y 5) e Internet Explorer (6 y 7).


La vulnerabilidad que presentará el investigador, podría permitir exponer datos sensibles de los usuarios, como nombres de usuario, contraseñas o direcciones de correo. Básicamente se basa en la función de auto completar que poseen los navegadores: ese momento en que uno empieza a escribir unas pocas letras en el campo de un formulario y automáticamente se sugiere por el historial el valor completo. Aparentemente, un sitio web especialmente diseñado podría comenzar a probar caracteres al azar a la espera de encontrar aquellos que el propio browser auto completa, y así capturar información que podría ser privada del usuario, todo esto en un campo de formulario oculto. Es decir, imagina a un atacante tipeando caracteres en un formulario en su computadora para ver si encuentra información guardada, y luego imagina que todo eso puede ser realizado de forma remota y transparente. Ese sería el ataque que Grossman mostrará con detalles y pruebas de concepto en vivo durante el desarrollo de la importante conferencia sobre hacking y seguridad de la próxima semana.
Vale destacar algunos otros hechos relevantes: ni Firefox ni Chrome están afectados por esta vulnerabilidad en particular y las versiones afectadas de Internet Explorer no incluyen la versión 8, por lo que los usuarios con esta última tampoco estarán expuestos.

El hecho de que Firefox y Chrome no sean vulnerables no me parece un dato menor, menos luego de lo comentado ayer sobre la posición de Google y Mozilla de pagar a los investigadores por el descubrimiento de vulnerabilidades, y cómo casualmente empresas como Apple o Microsoft que podrían imitar esta iniciativa, toman posiciones diametralmente opuestas, no sólo no reconociendo el trabajo del investigador en seguridad, sino también ignorando sus reportes. Este tipo de respuestas son normales para quienes trabajamos en seguridad, especialmente con empresas de otro tamaño, aunque uno espera otra posición cuando se trata de líderes del mercado de tecnología, y navegadores con miles de usuarios. Escrito por Sebastian Bortnik
 Fuente

Moraleja:
Para los usuarios de I.E.6 y 7 , se recomienda actualizar a I.E.8 y los de  Safari a 5.01

saludos

ms, 30-7-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies