| Terra |
 |
|
 |
|
|
El ataque se ha denominado bombardeo extensivo debido a su potencial de plantar múltiples archivos maliciosos que pueden convertir la PC del usuario en un desorden digital.
El investigador de seguridad ha podido demostrar que Safari no solicita el permiso del usuario cuando se descargan los recursos. Creó un sitio Web malicioso de muestra que entregaba iFrames maliciosos. Accedió al sitio usando Safari y descubrió que el navegador descarga automáticamente los archivos varias veces (de ahí el bombardeo extensivo), almacenando copias de éstos en dichas carpetas sin esperar los comandos del usuario o mostrar un cuadro de diálogo que le informe al usuario lo que está sucediendo. El reporte incluye una imagen de pantalla del peligro potencial que la acción de descarga automática puede provocar.
Apple no está considerando esta vulnerabilidad como un problema de seguridad, sino como otra vía para crear una mejora adicional para evitar descargas no deseadas.
El 30 de mayo, Microsoft emitió una sugerencia de seguridad que recomienda a los usuarios evitar usar Safari hasta que los investigadores hayan analizado el navegador, y hasta que Microsoft o Apple proporcionen las actualizaciones apropiadas. Para los observadores de la revalidad de Microsoft y Apple, es fácil especular sobre los motivos detrás de dicha recomendación ¿ pero los usuarios no deben perder de vista el problema real: que aunque esta vulnerabilidad existe en el área de POC, le puede dar a los hackers las condiciones que pudieran encontrar útiles para futuros ataques. Se recomienda a los usuarios cambiar la ubicación de descarga de archivos al editar las preferencias del usuario en Safari.
Vulnerabilidad descubierta en Firefox 3.0
La Iniciativa de Día Cero de TippingPoint, una organización de investigadores especializados en descubrir y brindar información sobre vulnerabilidades de software, descubrió y dio a conocer el miércoles 18 de junio una vulnerabilidad de nivel alto descubierta en el recientemente anunciado navegador Web Firefox 3.0 de Mozilla. También se descubrió que afecta a las versiones 2.x.x de Firefox.
Mozilla confirma la existencia de la amenaza, pero contradice el nivel dado por Tipping Point, argumentando que la vulnerabilidad representa riesgos mínimos, ya que parte del ciclo de explotación requiere de la interacción del usuario, como dar clic en el enlace de un correo electrónico o visitar sin darse cuenta sitios Web que sean maliciosos, para que la vulnerabilidad sea explotada completamente. Window Zinder, director de seguridad de Mozilla, dice acerca de la vulnerabilidad reportada:
Mozilla agradece cualquier reporte sobre problemas de seguridad ya que es cómo hacemos al navegador más fuerte y más seguro. La mejor forma de mantener seguros a los usuarios de Firefox es reportar los problemas directamente a Mozilla como TippingPoing lo ha hecho, y esperar a dar a conocer detalles hasta que esté disponible una solución.
Un investigador, quien pidió el anonimato, dijo que reportó la vulnerabilidad en las primeras cinco horas después de que se puso a disposición la versión más reciente de Firefox para su descarga. Y este incidente no ha escapado del ojo crítico de los usuarios preocupados por la seguridad, gritando ¿juego sucio¿ mientras especulan sobre el reporte inoportuno deliberado de dicha vulnerabilidad del navegador que debería haberse hecho antes de la liberación oficial. Copyright Terra Networks SA
|
