Semana negra para Google

Enviado por admin el 24. Septiembre 2007 - 20:29.

A los encargados de la seguridad de Google no debe faltarles trabajo en los últimos días.

Repasemos. Hace sólo dos días, MustLive tocó seriamente a Google Search Appliance, su buscador empresarial de pago.

Hoy, Adrian Pastor, de GNU Citizen, publica una nueva vulnerabilidad XSS explotable (robo de contraseñas) en la página de login de Google Urchin Web Analytics 5, es decir, la versión instalable de su popular medidor de tráfico web Google Analytics.

Pero es que aún hay más vulnerabilidades en servicios de Google publicadas hoy. Y bastante más graves...

Por ejemplo, Billy (BK) Rios acaba de publicar cómo se puede utilizar explotar un XSS en Picasa para iniciar un ataque que permite robar imágenes privadas del disco duro del usuario sin más que lograr que éste visite un enlace malicioso.

Pero hay algo aún peor. Beford.org detalla otra vulnerabilidad XSS en Google que permite robar información de cuentas de Gmail. El fallo reside primariamente en las encuestas de Blogspot, pero se extiende a otros servicios de Google, como los Grupos y el correo. En concreto, bedford.org publica dos pruebas de concepto: una que permite ver los contactos del usuario y otra que produce el reenvío de los mensajes nuevos a la cuenta estipulada por el atacante. Para resultar afectado basta visitar una web maliciosa, por ejemplo tras pulsar un enlace contenido en un correo que estemos leyendo.

Como viene siendo habitual, los usuarios de Firefox con NoScript están a salvo de las vulnerabilidades XSS, como su autor, Giorgio Maone, se encarga hoy de recordarnos.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

En las pruebas de concepto

Enviado por anónimo el 24. Septiembre 2007 - 23:31.

En las pruebas de concepto de Billy (BK) Rios pone:

'no user interaction required, well you just need to open a website while still logged to Gmail'

traduccion libre:

'No necesita que el usuario haga nada, bueno, solamente navegar por un sitio web mientras sigue logueado en Gmail.'

Esta vulnerabilidad a pesar de ser muy grave es evitable facilmente, solo hay que cerrar la sesion de Gmail antes de seguir navegando.

En mi caso, cuando abro sesion en Gmail no abro otras webs.

Un saludo.

Y además...

Enviado por anónimo el 24. Septiembre 2007 - 23:40.

... no hacer clic en ningún enlace contenido en un correo (se sobreentiende que mientras se está logueado, porque si no es imposible hacer clic en un correo abierto ;)

Ahora calcula la cantidad de gente que no adopta ninguna de las dos precauciones, ni dispone de NoScript porque utiliza Exploter...

Pero esto tendra arreglo?

Enviado por anónimo el 25. Septiembre 2007 - 9:04.

Hola, esto tendra arreglo de parte de Google, o sea google podra areglar esta vulnerabilidad? de Gmail...?

es necesario cambiar contraseña de gmail? y navegar sin la cuenta de gmail (teniendola iniciando secion).

obviamente

Enviado por anónimo el 25. Septiembre 2007 - 11:51.

Obviamente que tiene arreglo. No me extrañaría que ya estuviera arreglado o que lo tengan listo pero lo esten probando.

Firefox

Enviado por anónimo el 25. Septiembre 2007 - 11:50.

Entrando a las pruebas de concepto a mi el firefox me pone un cartelazo gigante avisándome que hay una falsificación, así que no es necesario llegar al punto de usar noscript (que en definitiva no sirve de mucho ya que casi todos los sitios usan javascript)

Barra de Google

Enviado por anónimo el 25. Septiembre 2007 - 12:22.

La barra de Google mantienen el login aunque cierres la página de gMail, si se está logueado mediante la barra de Google (el botoncito verde de la discordia), ¿también se es vulnerable?

Saludos.

JuLiO

Un monumento!!!

Enviado por anónimo el 25. Septiembre 2007 - 16:58.

Por favor!!! Un monumento a Giorgio Maone ya!!! Cuántos culos ha salvado el NoScript!!! (de la expresión "me ha salvado el culo", entiéndase, no me refiero a ver páginas de esas que ya sabemos...) La verdad, debería ser ilegal navegar con IE a pelo... qué menos que un Firefox con su NoScript (y AdBlock Plus también imprescindible para mi gusto).

Bueno, pero por supuesto, a pesar de lo que he dicho del Firefox y NoScript, Google que se ponga las pilas para arreglar el desaguisado, que no se puede ir por la vida con un software lleno de bugs (a no ser que te llames Bill G. :P)

Un saludo!

No concuerdo ^

Enviado por anónimo el 25. Septiembre 2007 - 18:46.

pfff.. a mi no me parece la gran cosa noscript, sinceramente navegar con noscript es cuestion de suerte, hay sitios que necesitas habilitarlos, ya que no te van a andar bien si no, qué tal si ese sitio implementa el exploit ?? jé, el noscript es completamente inutil entonces.

NoScript es como navegar con los ojos cerrados, y rezando para que cuando los abras, no sea un exploit lo que te pegue. xD

Saludos.

Un poco de sentido comun

Enviado por anónimo el 26. Septiembre 2007 - 2:34.

Usar noscript es justamente para que si por error o por descuido entramos a algun sitio peligroso o que no conocemos (coff coff porno coff coff) no nos exploten alguna vulnerabilidad. Ahora si queremos bajar un crack para cierto programa de www.tehackeolapc.com y nosotros le damos al noscript que deje ejecutar todo de ese sitio, bue... no hace falta decir lo que va a pasar.

El noscript es para usar con un poco de sentido comun, no es magico. Ademas creo que la utilidad de este add-on crece a medida que mas lo usamos, asi podemos ir agregando que sitios son de confianza y cuales no.

privoxy

Enviado por anónimo el 27. Septiembre 2007 - 0:17.

Yo uso privoxy (no la extensión de firefox sinó un servidor web-proxy) para filtrar de alguna manera la entrada de datos del navegador iceweasel (+ ó - firefox):

Privoxy is a web proxy with advanced filtering capabilities for protecting privacy, filtering web page content, managing cookies, controlling access, and removing ads, banners, pop-ups and other obnoxious Internet junk. Privoxy has a very flexible configuration and can be customized to suit individual needs and tastes. Privoxy has application for both stand-alone systems and multi-user networks.

Privoxy is based on Internet Junkbuster (tm).

He visto como me bloquea scripts i publicidad.

¿Sabes si también bloquearía estos? es decir puede ser tan efectivo como noscript?

gracias

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
13 + 3 =
Resuelve esta sencilla operación e introduce el resultado.