Blogantivirus

Adobe ha publicado un boletín de seguridad, en donde comentan los problemas que existen en la versión 9.0.124.0 (e inferiores) del Flash Player, relacionados con la seguridad.

Entre ellos se destaca la potencial amenaza de ClickJacking, problema que ya hemos comentado aquí en BlogAntivirus, pudiendo en este caso un atacante, hacerse con el control de la cámara y micrófono del usuario (en el sentido de obtener datos, si estos están conectados al ordenador, obviamente).

Por otro lado, se solucionan vulnerabilidades relacionadas con la API de FileReference, que permitiría la inyección de código malicioso al nivel de permisos del usuario actual; otro problema que permitiría la elevación de privilegio entre aplicaciones web, y uno que no ha sido muy descrito, relacionado con el escaneo de puertos.

En cambios menores, se introdujeron cambios para evitar los ataques al portapapeles (clipboard), algo que seguramente provocará que muchos desarrolladores Flash, deban actualizar sus aplicaciones web.

La recomendación entonces es que los usuarios con Adobe Flash Player 9, se actualicen a la última versión del producto.

Más información en Adobe | Vía | Descargar Adobe Flash Player 10

Tags: adobe, clickjacking, flash player 10, flash player 9, Vulnerabilidades

NoScript ha sido actualizado a la versión 1.8.2.1, en la cual incorporan una nueva característica llamada ClearClick, cuya finalidad está centrada en impedir que el usuario se convierta en víctima del ClickJacking.

La funcionalidad de ClearClick se da del siguiente modo: cada vez que el usuario interactúa con una página, ya sea por medio del ratón o teclado, y esta tiene un elemento que está obstruyendo (ya sea transparente o camuflado), NoScript saldrá al ataque con una ventana que te dirá que acción -realmente- estás por ejecutar.

En la ventana emergente que nos brindará ClearClick, podremos ver el texto/imagen con el enlace real, y el enlace que se estaba anteponiendo (ClickJacking), pudiendo bloquear incluso el ataque de forma permanente en ese sitio.

Si actualizan o instalan la última versión de NoScript, podrán asegurarse de que están protegidos contra esta forma de ataque que ya está dando dolores de cabeza a algunos usuarios.

Enlaces: Hackademix | NoScript

Tags: clearclick, clickjacking, Firefox, noscript

Según se comenta en Heise, dos expertos muy conocidos en seguridad informática (Robert RSnake Hansen y Jeremiah Grossman), han cancelado su charla en la conferencia OWASP, debido a que consideraron más oportuno alertar primero a las empresas afectadas.

El tema que iban a dar es el de ClickJacking, algo que según estos expertos, afectaría a varios navegadores webs, e incluso algunos productos que funcionan encima de estos, como los de Adobe (quienes ya han agradecido a estos expertos).

En claro, el ClickJacking se compone de una combinación de fallas, que permitirían a un atacante, hacer que el usuario “clickeara” sobre enlaces parcialmente visibles (o invisibles directamente), en vez de “clickear” en un enlace legítimo.

Esto se convertiría claramente en una mina de oro para aquellos que practican el Phishing, como también daría lugar a otro tipos de ataques más graves.

Grossman advirtió que es imposible esperar que todos los sitios sean actualizados para evitar este tipo de ataque, por lo que prefirieron directamente acotar el problema hablando con los desarrolladores de navegadores.

El problema del ClickJacking, habría sido subestimado por los expertos en seguridad informática, aunque por la advertencia de estos dos sujetos, parecería ser un problema potencial y de caracter crítico.

Más información en Heise

Tags: clickjacking, jeremiah grossman, owasp, robert hansen, rsnake