26 noviembre 2009 Internet, Navegadores, Seguridad

internet_explorer_8

Internet Explorer 8 contienen una protección contra XSS (cross-site scripting), un tipo de agujero en la seguridad de páginas web, que, lejos de reforzar la seguridad de páginas web, hace que algunas, que normalmente serían inmunes, puedan ser vulnerables a este tipo de ataque a través de este navegador. Mediante este tipo de agresión, un atacante podría recuperar las cookies de su víctima y, por ejemplo, emplear la información para escribir mensajes en un foro a través de la cuenta de dicha víctima.

Por lo visto Microsoft sabe del problema desde hace meses, pero no ha dado respuesta ni solución alguna a ello, por lo que no tenemos más detalles. Quien sí ha opinado es Giorgio Maone, el desarrollador del famoso plug-in NoScript para Firefox, que presume de ser la mayor protección anti-XSS disponible para cualquier navegador, entre otras virtudes. Maone asegura que es un fallo básico en el diseño que él mismo conocía desde hace ya un tiempo, aunque no ha querido publicar más información hasta que se haya encontrado la solución.


Por lo visto, el protector de Internet Explorer 8, en lugar de filtrar las peticiones del cliente, como hace NoScript, lo hace con las respuestas del servidor para el código potencialmente dañino, modificándolas cuando lo considera preciso, y esto permite que el atacante pueda manipular dicha respuesta para inyectar código arbitrario.

Según Maone, el atacante debe tener cierto control sobre la página a la que suela acceder la víctima, como puede ser el caso en las diversas redes sociales, wikis o las Google Apps, aunque la propia compañía de Google ya tenía constancia del problema y, en tanto Microsoft no saque un parque que resuelva el problema, ha desactivado por su propia cuenta el protector anti-XSS del Explorer 8 al acceder a sus contenidos, volviendo a hacer a sus páginas inmune a esta vulnerabilidad.

Vía | ProtegeTuOrdenador.com

También te puede interesar

Comentarios

3 comentarios

Enlaces y trackbacks

  1. Bitacoras.com 26 noviembre 2009

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *