:: INICIO :: DESCARGAS :: PERFIL :: FAQ ::
Lenguajes
Idioma preferido:

Brazilian Portuguese English Español
Menú
Login






 ¿Has perdido tu contraseña?
 ¿Nuevo usuario? ¡Regístrate!
En Línea
Actualmente hay 2 invitados y 0 usuarios registrados en línea.

Puedes loguearte o crear una cuenta nueva aquí.
Webs Amigas

A.P.A.HU.D.
elpeorpresidente.com
famososyricos.com
damicelli.com
Encuesta

Te consideras un hacker?

  • Si
  • No
  • Qué es un hacker?

[ Resultados | Encuestas ]

Votos: 24
Anuncios
Búsqueda

Clickjacking es la nueva amenaza
elhacko 09 Oct, 2008
Noticias del mundo hacker Los investigadores han comenzado a publicar los detalles de un nuevo tipo de ataque denominado "clickjacking", que puede conducir a los usuarios a sitios Web malintencionados al engañarlos para que hagan clic en elementos invisibles en un navegador web.

Jeremiah Grossman, director de tecnología de Seguridad White Hat, y el jefe ejecutivo de SecTheory, Robert Hansen, comenzaron a hablar públicamente de sus investigaciones de lo que ellos llaman clickjacking, a raíz de la publicación de una prueba de concepto de otro investigador.

Clickjacking es un conjunto de diferentes técnicas de camuflaje de elementos tales como cajas de diálogo y vínculos, de modo que el usuario puede ser engañado para cambiar la configuración de seguridad o visitar sitios web maliciosos, dijeron Grossman y Hansen.
Si bien los conceptos relacionados con el clickjacking no son nuevos, los dos investigadores dijeron que las vulnerabilidades específicas que descubrieron afectan a una inusualmente amplia gama de software, como Adobe Flash Player, junto a los navegadores más utilizados como Internet Explorer, Opera, Firefox y Safari.

"Hay múltiples variantes del clickjacking", escribió Hansen en un blog. "Algunos de ellos requieren acceso entre dominios, algunos no. Algunos superponen páginas enteras sobre otra página, algunos usan iframes para conseguir que usted haga clic en un punto. Algunos requieren JavaScript, otros no. Algunas variantes hacen uso de CSRF para precargar datos en formas, algunos no lo hacen. Clickjacking no cubre cualquiera de estos casos en particular, sino más bien todos ellos ".

Grossman y Hansen habían previsto dar una presentación sobre clickjacking en la conferencia del Proyecto de Seguridad de Aplicaciones Abiertas para la Web (OWASP) en Nueva York en septiembre, pero cancelaron la presentación para permitir a los programadores de software a que desarrollen sus parches.

El martes, sin embargo, el investigador de seguridad Guy Aharonovsky publicó una demostración de clickjacking después de hacer ingeniería reversa a algunos de los problemas de seguridad descubiertos por Grossman y Hansen.

Esto dio a Grossman y Hansen luz verde para comenzar a discutir sus descubrimientos, según Hansen.

El descubrimiento "esencialmente desparramó por todos lados el uso de las técnicas que más preocupaban a los investigadores", escribió Hansen. "Afortunadamente, Adobe ha estado trabajando en esto desde que les notificamos, y a pesar de que la divulgación de estás técnicas se hizo sin cuidado, la mayor parte de la labor para mitigar este efecto ya está completo en lo que a ellos concierne".

También el martes, Adobe dió a conocer una forma de hacer frente a las vulnerabilidades específicas demostradas por Aharonovsky. Adobe está preparando un parche que se ocupará de la mayoría de las preocupaciones de Grossman y Hansen.

En su blog, Hansen había detallado varias variantes de las vulnerabilidades con la manera en que Flash Player interactúa con los navegadores web, incluyendo los problemas con el manejador de configuración de seguridad del Flash Player y varias técnicas para hacer que elementos del Flash Player se vuelvan opacos o sean cubiertos con elementos del navegador.

El problema específico detallado por Aharonovsky implica la manipulación del Administrador de configuración de Flash Player y permite "apagar" la seguridad. Un atacante podría utilizar el ataque, por ejemplo, para hacerse con el control de la cámara y el micrófono de un sistema y espiar al usuario, dijo Aharonovsky.

Otros tipos de ataques clickjacking podrían tener efectos más graves, tales como la falsificación de un pedido entre sitios (CSRF), o disfrazar enlaces maliciosos, de acuerdo con Hansen, que detalla ocho problemas de seguridad de clickjacking diferentes en su blog.

Hansen dijo que una próxima versión del Flash Player se ocupará de la mayor parte de sus preocupaciones, aunque algunos pueden requerir parches para los navegadores afectados.

Grossman ha dicho que hablará sobre cuestiones relacionadas al clickjacking en el la conferencia Hack in the Box que se llevará a cabo en Kuala Lumpur, Malasia, a finales de este mes.

Comentarios

Mostrar Orden
Adobe Flash Player 10 arregla el problema
por elhacko
en 16 oct, 2008
[ Información del usuario ] [ Enviar un mensaje ]

Ayer miércoles, Adobe publicó una actualización al Flash Player 10, que incluye arreglos para evitar los problemas que describieron los investigadores Grossman y Hansen.

Estos arreglos se encargan de evitar que un hacker pueda tomar control de la webcam y el micrófono para espiar a las personas, e incluye 4 arreglos a otras fallas de seguridad relacionadas con problemas del clipboard y problemas con el escaneo de puertos.

En los primeros días de Noviembre será publicada una nueva versión del Flash Player 9 que incluye estos parches, para aquellos que no pueden actualizarse a la versión 10.


Sólo los usuarios con sesión iniciada pueden comentar. registrarse/iniciar sesión
©2007-2010 hackeador.com
Todos los derechos reservados.

Ud. puede sindicar nuestras noticias usando el archivo backend.php