Clickjacking o como perder el control de los vínculos visitados en vuestro navegador

Alguna vez os he hablado en el blog de Links o Lynx, navegadores en modo texto nada amigables en lo gráfico pero a la postre los más seguros viendo lo que se ve en la escena de los ataques a las sesiones del navegador.

Hoy se está hablando del Clickjacking o la pérdida de los vínculos que se visitan a traves del navegador que pueden ser «secuestrados» a través de un website malicioso manipulado para ese fin y por lo que he leido no es ninguna broma.

El asunto como os comento no puede ser tomado a la ligera ya que este grave bug no se explota por vulnerabilidades en Javascript que pueden ser bloqueadas por el uso de NoScript y que en este caso también las solventa este fallo afecta a navegadores como Firefox, Explorer, Adobe Flash, Safari, Opera, etc y los únicos que se libran son los que funcionan en modo texto.

Robert Hansen y Jeremiah Grossman han dado la voz de alarma y están avisando discrétamente a los fabricantes afectados para que implementen los parches adecuados en el software y Giorgio, el creador de NoScript, una vez habiendo visto como se explota esta vulnerabilidad, (viene a calificarla como devastadora) deja una opinión en su blog nada tranquilizadora…

Falta información del bug porque como digo se está filtrando a quienes deben tenerla, pero quiero pensar que los responsables de arreglar el entuerto están manos a la obra para parchear sus navegadores a la mayor brevedad posible, cosa que no será fácil porque el problema reside en niveles o capas más bajas del software y creo que tendrán que reescribir mucho código hasta solventarlo.

Está claro que ganan puntos los sitios de confianza, pero hasta quienes tienen/tenemos cuidado de no navegar por ciertos lugares, podemos en un momento dado ser vícitimas de un ataque de este tipo y sin querer entrar en la paranoia, os comento que cada vez (y no es por esto) navego más en modo texto con Links.

Visto en SeguInfo

(Gracias por el aviso Dest)

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada