Esta semana es la de las vulnerabilidades pues empezó primero con la vulnerabilidad en Skype donde cualquiera que conociera el e-mail asociado a una cuenta podía modificar la contraseña y por lo tanto, quitar el acceso a la misma.


Al parecer esta vulnerabilidad fue detectada por primera vez hace un par de meses y dada a conocer a través de un foro ruso, pero lo grave del asunto fue que ni Skype ni Microsoft lo solucionaron en ese momento. Eso sí, cuando se hizo pública aseguraron, estar investigando el tema para arreglarlo lo antes posible.

Como medida inicial Skype confirmo que, como medida preventiva, había deshabilitado la posibilidad de resetear la contraseña de las cuentas de los usuarios mientras seguía investigando la vulnerabilidad.

Actualización: Informan desde Skype que ya han modificado y corregido el proceso de cambio de contraseña.

Después del alboroto sobre la vulnerabilidad de seguridad de Skype, apareció un Cross Site Scripting (XSS) en GoogleUserContent.com que permite a un atacante crear un sitio de phishing que se aloja en Google.com, o al menos en uno que se parece a él. En otras palabras, las víctimas podrían ser engañadas para ingresar sus datos verdaderos de la cuenta de Google, pensando que realmente están en Google.com.

De acuerdo con el sitio web The Hacker News, la historia de esta vulnerabilidad es un poco más complicada, pues hace dos meses, el investigador Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, escribió una prueba de concepto y la reportó a Google el 11 de Septiembre del 2012.

Según Kumar, desde Google no se molestaron por el tema y le informaron que no era explotable. Por lo tanto tampoco le concedieron su recompensa a Kumar.

Para empeorar las cosas, ayer “Keeper” otro hacker búlgaro informó que después de múltiples denuncias a Google la vulnerabilidad sigue activa. Los hackers crearon una página de phishing usando el fallo de XSS persistente “para poder demostrar al mundo de que no se trata de un error menor”.

La página falsa se ve como a continuación:

Esto no es más que sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan más detalles, lo que queda bien claro es que el dominio Google.com está siendo abusado.

Primero fue la vulnerabilidad de Skipe, después la vulnerabilidad XSS en Google, el 13 de Noviembre fueron reportadas en el sitio web The Hacker News tres vulnerabilidades en Paypal (dos de XSS y un iFrame), y otra vulnerabilidad XSS en el subdominio de Apple (https://locate.apple.com) y ahora los hackers de Team Inj3ct0r reportaron otra en el sitio de http://news.de.msn.com/.

Según pudieron comprobar el XSS funciona en los navegadores web Internet Explorer 8 y Opera.

Fuentes:

Segu Info News

Segu Info News

Segu Info News