Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Netscape Navigator revela sus cookies
|
|
VSantivirus No. 584 - Año 6 - Lunes 11 de febrero de 2002
Netscape Navigator revela sus cookies
http://www.vsantivirus.com/netscape-cookies.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Hace ya unos días, se conoció un fallo de seguridad que afecta a las versiones anteriores a la 6.2.1 del Navigator y a Mozilla, la versión de código abierto del mismo.
Esta falla permite a un atacante obtener toda la información guardada en los cookies o galletitas.
Con esta falla descubierta, no queda browser que no sea vulnerable a este tipo de ataque. Desde el Internet Explorer hasta el Opera, y ahora el Navigator y el Mozilla, sufren de agujeros muy similares.
Las cookies (o galletitas), son utilizadas por diferentes sitios Web para guardar preferencias del usuario, llevar estadísticas, nombres de usuario y contraseñas. Solo guardan texto y no ejecutan ningún tipo de código que podría poner en peligro la seguridad de nuestro PC.
Las cookies son extensamente usadas en sitios de transacciones comerciales (desde carritos de compras a movimientos bancarios), para la autentificación del usuario (una cookie no puede transmitirse, se genera y se lee en nuestro PC).
Como en los navegadores anteriores, esta vulnerabilidad, pone en peligro este tipo de uso, ya que a partir de la revelación de esta falla, pueden leerse las cookies almacenadas en la computadora del usuario que utilice Netscape, adquiriendo así contraseñas y otro tipo de información confidencial, por ejemplo los permisos de autentificación.
Según reveló Netscape, el problema afecta las versiones anteriores a la 6.2.1 de Netscape y a las previas a la 0.9.7 de Mozilla, y permite que un atacante o incluso un sitio web malicioso, pueda robar las cookies que otro sitio ha guardado en nuestra computadora. Exactamente el mismo tipo de falla que ya había sido detectado en el Internet Explorer y en el Opera, y para los cuáles existen parches.
La forma de explotar esta vulnerabilidad, es a través del ingreso de una dirección (URL) especialmente creada para ello. Y no es necesario utilizar ningún tipo de script (Java, etc.).
Si el atacante consigue acceder a estos cookies, también podría obtener nuestros privilegios (inclusive información crítica), al conectarse a los mismos sitios que nosotros, usurpando nuestra identidad.
La solución de Netscape es actualizarnos a la brevedad posible, a la versión 6.2.1, que corrige esta falla.
Netscape Communicator 4.x es inmune a la misma.
Referencias:
Upgrade para Navigator 6.2.1
http://home.netscape.com/computing/download/index.html
Actualización para Mozilla 0.9.7
http://www.mozilla.org/
Slemko's analysis of the vulnerability
http://alive.znep.com/~marcs/security/mozillacookie/
Relacionados:
VSantivirus No. 534 - 24/dic/01
Falla en IE permite robar cookies, leer archivos, etc.
http://www.vsantivirus.com/vul-ie-document-open.htm
VSantivirus No. 498 - 18/nov/01
Opera también vulnerable a las cookies
http://www.vsantivirus.com/gun51.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|