04 octubre 2008

Clickjacking, La Vulnerabilidad del Dia 0

Este es uno de los temas más sonados actualmente y es que el ya famoso clickjacking, no es más que ...

Una vulnerabilidad que afecta a posiblemente todos los navegadores en todas sus versiones (y en todos los sistemas operativos), exceptuando los navegadores tipo texto como links, links2, lynx; funcionando incluso sin javascript.

Lo que esta debilidad hace es sencillamente provocar clicks del usuario sin que este siquiera lo note, en otras palabras, "secuestra los clicks"

El gran riesgo que esto tiene es tan inimaginable como descargar códigos dañinos al equipo cliente, secuestrar información del usuario, aprovecharse de la publicidad online, etc.

Este nuevo ataque fue descubierto por los investigadores en seguridad Jeremiah Grossman y Robert Hansen quienes tenian preparada exponer la vulnerabilidad en la conferencia OWASP NYC AppSec 2008 hace algunos dias, pero que al final decidieron por no rebelar todos los detalles y quedarse más en una exposición genérica debido probablemente a preciones de los patrocinantes (Adobe).

Lo peor de todo es que hasta el momento, los desarrolladores de los navegadores han informado que este problema no será tan sencillo de solucionar como con un parche, debido a que se arraiga en la arquitectura inherente de todos los navegadores y no en algún exploit o falla.

Expandir/Contraer este Post