Posible riesgo de robo de cookies en Internet Explorer

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

Posible riesgo de robo de cookies en Internet Explorer

CNET News - Security 26-May-2011

Un investigador de seguridad en Italia ha encontrado una falla en Internet Explorer que - según indica - podría permitir a atacantes el robo de cookies de una PC, y posteriormente el ingreso a sitios web protegidos por contraseña.

Refiriéndose al ataque como "cookiejacking", Rosario Valotta asegura que una vulnerabilidad de día-cero encontrada en todas las versiones de Microsoft Internet Explorer en cualquier versión de Windows permite a un atacante robar cualquier cookie de cualquier sitio web.

Demostrando sus resultados en conferencias de seguridad este mes en Suiza y Holanda, Valotta admite que para explotar la vulnerabilidad, el atacante debe utilizar ingeniería social ya que la víctima debe arrastra un objeto a través de las ventanas de la computadora para que la cookie pueda ser extraída.

Pero Valotta dice que fue capaz de ingeniar el atractivo perfecto mediante una página de Facebook que requiere que las personas arrastren un objeto al desvestir la foto de una mujer, según Reuters, permitiéndole así capturar sus credenciales de Facebook con la cookie.

"Publiqué el juego en Facebook y en menos de tres días, más de 80 cookies fueron enviadas a mi servidor", dijo, de acuerdo a Reuters. "Y sólo tengo 150 amigos."

Desde su punto de vista, Microsoft no ve mucho riesgo real al 'cookiejacking'.

"Dado el nivel requerido de interacción por parte del usuario, este problema no es algo que consideremos de alto riesgo, en la manera que una ejecución remota de código podría afectar a los usuarios", dijo en una declaración enviada a CNET el portavoz de Microsoft, Jerry Bryant.

"Para impactar al usuario debe visitarse un sitio web malicioso, ser convencido de hacer click y arrastrar elementos a través de la página, y el usuario debe tener como objetivo una cookie de un sitio web donde el usuario ya haya iniciado sesión", añadió Microsoft. "Le sugerimos a todos nuestros clientes que se protejan contra ataques potenciales al evitar hacer click en enlaces y correos electrónicos sospechosos, así como ajustar sus preferencias de Internet a un nivel más alto de seguridad."

Fuente: CNET News - Security SB/GC

Volver a listado de noticias