Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
18 meses después importantes sitios siguen vulnerables
|
|
VSantivirus No. 501 - Año 6 - Miércoles 21 noviembre de 2001
18 meses después importantes sitios siguen vulnerables
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Un reciente informe, revela que muchos sitios grandes de Internet, son vulnerables a un ataque por medio de una técnica, que ya tiene dieciocho meses de haber sido advertida públicamente.
En un intento de demostrar lo peligroso de esta situación, la empresa de seguridad Infigon Technologies, creó una página donde se presenta una lista de los sitios vulnerables.
En la lista figuran lugares de prestigio como Citibank, Google, CNet, Oracle, MSNBC y eBay. La lista se actualiza constantemente, y ya hay algunos de esos Web que han corregido esta vulnerabilidad.
La alarma publicada el 2 de febrero de 2000 por el CERT (Computer Emergency Response Team), se refiere al uso de etiquetas maliciosas (tags), embebidas en el código HTML de ciertas páginas.
Un sitio Web puede incluir inadvertidamente este código o scripts, generados en forma dinámica. A partir de allí, un navegador que lea ese código, podría llegar a ejecutar peligrosas rutinas, sin advertencia alguna.
Esta falla podría hacer que un usuario realizara acciones en nombre de otro usuario, o que incluso modificara el contenido de otro sitio.
Uno de los agujeros más conocidos, que mereció la atención de la prensa hace un tiempo y que ya ha sido cerrado, involucraba a Hotmail.
Sin embargo, 18 meses después, existe una gran cantidad de sistemas vulnerables.
Muchos crackers saben esto y usarán estos agujeros en algún momento.
Y no solo el Internet Explorer puede ser afectado. Hace unos días, el investigador Georgi Guninski avisaba que una vulnerabilidad de este tipo, también afectaba al navegador Opera.
Cómo usuarios domésticos, si no queremos que nuestros datos puedan ser enviados a otros sitios, se debe desactivar las facilidades de JavaScript (Active Scripting) de nuestro explorador.
Cómo desactivar el Active Scripting en Internet Explorer
- Vaya a Herramientas, Opciones de Internet
- Seleccione la lengüeta "Seguridad"
- Pinche en el icono de la Zona denominada "Internet"
- Pinche en "Personalizar nivel"
- Luego, busque la rama "Automatización", y marque la casilla "Desactivar" en "Automatización de los subprogramas de Java".
- Pinche en ACEPTAR y confirme los cambios
Nota: Debe tener en cuenta que al hacer estos cambios, tal vez algunas páginas y mensajes con formato no serán visualizados correctamente.
Referencias:
Lista de servidores vulnerables: Cross Site Scripting Holes
http://www.devitry.com/holes.html
CERT Advisory CA-2000-02
Malicious HTML Tags Embedded in Client Web Requests
http://www.cert.org/advisories/CA-2000-02.html
VSantivirus No. 498 - 18/nov/01
Opera también vulnerable a las cookies
http://www.vsantivirus.com/gun51.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|