Suscríbete a nuestro RSS Feed
Se ha encontrado una vulnerabilidad en la Barra de Google (Google Toolbar) versiones 4 y 5, que afecta a los navegadores Firefox (parcialmente) e Internet Explorer, aunque sólo se hace presente cuando se quiere agregar un botón.
La información que se presenta en el cuadro de diálogo que aparece al intentar descargar un botón es bastante manipulable, lo que permitiría a los atacantes introducir achivos peligrosos.
La información de los botones está guardada en archivos XML, y cuando se desea descargar alguno, el usuario debe clickear un link. Luego de clickear aparece un cuadro de diálogo que muestra el dominio de donde se obtiene y de donde interactua (envia y recibe inormación) el botón.
Hasta aqui nada raro, pero el problema se presenta cuando se utiliza un redireccionador, por ejemplo el de Google, (http://www.google.com/local_url?q=) ya que el cuadro de diálogo indica que se está descargando el botón desde Google.com, lo que haría que los usuarios accedan a descargarlo, pudiendo afectar su seguridad, o hasta ingresando información privada.
Las versiones de la barra y los navegadores afectados son Barra Google 4 y 5 para IE y Barra Google 4 para Firefox, aunque sólo funciona
Aviv Raff, publicó una demostración (Proof of Content) en su sitio, que puede descargarse aquí (úsenla bajo su propio riesgo).
Google ya sabe del error y está trabajando en corregirlo, asi que se espera que en estos días solucione la vulnerabilidad.
Fuentes: Search Engine Land | Aviv Raff
Andrés Goldbaum
Suscríbete a nuestro RSS Feed
Deja tu comentarios sobre el artículo