Domingo, julio 25, 2010 21:16
Publicado en la categoría Internet, Navegadores, Seguridad
Download PDF

La semana que viene en la conferencia Black Hat, un grupo de investigadores revelarán una vulnerabilidad grave que afecta a los navegadores Internet Explorer y Safari. Según comentan, la opción de autocompletar es vulnerable a ataques de terceros, que pueden hacerse mediante un agujero de seguridad en esta función, con datos personales como nombres de usuario y contraseñas de la víctima.

Grossman planea presentar una prueba de concepto la semana que viene. La función autocompletar rellena un cuadro de texto con palabras, emails, números, etc, que hayamos introducido anteriormente con tan solo teclear el primer carácter de la cadena. Al parecer crear un sitio web con formularios en javascript ocultos que vayan probando diferentes caractéres hasta que la función autocompletar le devuelva un resultado y así hacerse con él, es muy sencillo.  El usuario ni siquiera tiene que teclear una letra, ni se dará cuenta de que se está realizando el ataque.

Los navegadores afectados son IE 6 y 7 y Safari 3 y 4. Firefox y Chrome no son vulnerables a este ataque, aunque pueden mostrar datos del usuario y son propensos a ataques xss.

Via ArsTechnica

Deja un comentario