• Tweet

Varios navegadores populares de web contienen una vulnerabilidad que podría ser utilizada por cybercriminales para robar datos personales, alertó la compañía de seguridad Secunia.

La falla podría permitir un ataque de phishing en el cual una ventana pop-up de JavaScript apareciera frente al sitio web confiable, dijo Secunia en una alerta publicada recientemente. Esto podría engañar a un usuario para que revele datos como contraseñas.

"El problema es que las cajas de diálogo de JavaScript no despliegan o incluyen su origen, el cual permite a nuevas ventanas abrir - por ejemplo, una caja de diálogo informativa - la cual parece ser de un sitio confiable," dijo Secunia en su alerta.

De acuerdo a Secunia, la última versión de Internet Explorer, Internet Explorer para Mac, Safari, iCab, Mozilla, Mozilla Firefox y Camino son vulnerables. Opera 7 y 8 son afectados, pero no la versión 8.01, de acuerdo a Opera.

Para tomar ventaja de la falla, un cybercriminal tendría que dirigir a un usuario de web de un sitio web malicioso a uno genuino, sitios confiables como bancos en línea, en una nueva ventana del navegador. El sitio malicioso debería abrir una caja de diálogo de JavaScript frente al sitio Web confiable, y el usuario puede ser engañado para enviar información personal de regreso al sitio web malicioso.

Microsoft ha dicho que está investigando esta falla. Y recomendó a los usuarios para no confiar en ventanas pop-up que no incluyan la barra de dirección o el icono de un candado que verifique que viene de una fuente certificada.

Los desarrolladores de Mozilla Firefox han tomado las medidas necesarias para combatir este tipo de ataques phishing. En Abril, fue desarrollado un parche que permitía a la gente bloquear pop-ups de Java y Flash a menos que vinieran de sitios confiables. Mozilla no ha dado a conocer comentario alguno acerca de la alerta de Secunia.

Opera confirmó el pasado miércoles que su última versión 8.01, desplegaría el origen del pop-up, permitiendo al usuario inspeccionar el URL para ver si éste viene de un sitio confiable.

"Una vez que son descubiertas estas cosas, todos tratan de solucionar el problema", dijo Christen Krogh, vicepresidente de ingenieria de Opera.

Krogh también apuntó que Secunia ha definido esta vulnerabilidad como "poco crítica". Fuente: ZDNet UK  FZA/