• Tweet

Después de dejar a lado los planes sobre un navegador, la vulnerabilidad del clickjacking que esta indirectamente relacionada con los productos de la empresa Adobe Systems en la solicitud de principios de este mes, un investigador de seguridad planea detallar la falla el mes que entra.

Jeremiah Grossman, jefe de tecnología en White Hat Security, debatirá la vulnerabilidad en una conferencia en Hack In The Box (HITB) en Kuala Lumpur, Malasia.

Grossman fue planificado para detallar el desperfecto del clickjacking con Robert Hansen, director general de SecTheory, en la conferencia Open Web Application Security Project en Nueva York, pero ellos desecharon la presentación a petición de Adobe. Los hackers dijeron que no se puso presión sobre ellos, pero Adobe quería tiempo para estudiar y abordar la vulnerabilidad antes de que se hiciera público. "Esto no es malo 'el hombre trata de mantener a los hackers debajo de 'la situación," Hansen escribió en su blog en aquel momento.

El Clickjacking es un ataque donde un usuario hace clic en un botón en un navegador, pensando que el botón realizará una función específica, por ejemplo presentar una historia publicada, pero en su lugar un atacante "secuestra" el uso del botón para utilizarlo para otro propósito. La vulnerabilidad es "obviamente suficientemente espantosa para que Adobe la llame una cuestión crítica y pedir más tiempo, a pesar de que ellos sólo fueran afectados indirectamente," Grossman escribió en un correo electrónico.

Durante el fin de semana, Grossman y Hansen planearon informar a Adobe de su intención para continuar con la presentación y hacer la prueba del concepto del código disponible que ellos desarrollaron.

"Dimos a Adobe tiempo de cortesía, pues lo solicitó y tenemos una buena relación de trabajo con ellos. Ellos utilizan el tiempo de forma productiva, pero nosotros no podíamos aceptar otro retraso", escribió Grossman. "Nuestra creencia es que el clickjacking como asunto no es un problema en su software, sino con los navegadores en general. No sería justo para los demás que su impacto estuviera fuera de la información que ellos necesitan"