Este nuevo “agujero” ha sido dado a conocer por un analista de SecureXpert (www.securexpert.com) en el transcurso de una rutinaria auditoría de seguridad en el web. La vulnerabilidad permite al autor de un web site corrupto o un mensaje e-mail falsear la información presentada por otro sitio web.
Por ejemplo, el web site malicioso puede hacer que la información presentada en otro web sea falsa, o incluso, que las páginas afectadas muestren un formulario que al ser rellenado devuelva los datos al atacante.
El problema es común a Microsoft Internet Explorer y a Netscape Communicator, y es debido a que ambos navegadores no pueden evitar correctamente que un sitio web puedan reemplazar un frame mostrado por otro sitio web con contenido que está bajo el control del atacante.
Microsoft ya público el parche para cubrir esta vulnerabilidad (www.hispasec.com/unaaldia.asp?id=57), pero ahora se ha probado que otros navegadores pueden verse también afectados por el problema.
Netscape se encuentra trabajando en solucionar el problema, mientras que Opera Software también ha reconocido algunos problemas con su implementación del soporte de frames.
Cualquier página web creada haciendo uso de frames puede verse afectada, aunque hay que tener en cuenta que no se trata de una vulnerabilidad del sitio web falseado, sino del navegador empleado por el usuario.
Antonio Ropero
No hay comentarios:
Publicar un comentario