AÑO 7 - Nº 09 - SET 11

Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

HOT VULNERABILITIES

Un investigador español detecta una seria vulnerabilidad en Facebook
Un atacante puede mandar un enlace que parece ser de la red social pero, en realidad, lleva a una página exterior sin avisar.

Vicente Aguilera es un habitual cazaagujeros del ciberespacio. No es la primera vez que descubre uno en Facebook, pero sí es el más grande. Afecta a los enlaces que se comparten entre amigos, en el muro, en mensajes privados o de grupo: “Un atacante puede mandar un enlace que parece ser de Facebook pero, en realidad, te lleva a una página exterior sin avisarte”, explica Aguilera.

Por ejemplo, un “amigo” puede poner en nuestro muro un enlace que nos lleva a una foto o una aplicación que parecen estar dentro de Facebook. Pero, aunque en la URL veamos la dirección http://www.facebook.com, en realidad nos manda a otro sitio, fuera de la red social. Este sitio puede ser una web donde se nos pidan datos privados (“phishing”) o nos introduzcan un virus en la computadora.

Es lo que se llama una “redirección abierta”: un enlace que parece legítimo, pero nos redirige a un sitio diferente, sin que lo sepamos ni Facebook nos lo notifique. En principio, la red social tiene un mecanismo de seguridad por el que nos avisa si un enlace no confiable nos lleva fuera, pero el fallo descubierto por Aguilera permite saltarse este mecanismo de seguridad.

La reacción de Facebook ha sido “despreciar el riesgo”, explica Aguilera, a quien ya no sorprende que “grandes empresas que tratan datos de millones de usuarios no dan la importancia que se merece a las notificaciones de fallos que les enviamos. En la mayoría de casos no suelen pedirnos más información ni quieren conocer los detalles”.

Aguilera avisó a Facebook, nada más descubrir el fallo, pero la red social le respondió con tres líneas, negándolo. El investigador insistió, dándoles más detalles, hasta que Facebook lo admitió pero, explica: “Dijeron que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo”.

 

Trece boletines de seguridad de Microsoft

Microsoft ha publicado trece boletines de seguridad (del MS11-057 y el MS11-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad “crítico”, mientras que diez se clasifican como “importantes” y uno como “moderado”. En total se han resuelto 22 vulnerabilidades.

Los boletines “críticos” son:

MS11-057: Actualización acumulativa para Microsoft Internet Explorer que además soluciona siete nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7, 8 y 9.

MS11-058: Se trata de una actualización destinada a solucionar dos vulnerabilidades en el servidor DNS de Windows. Afecta a Microsoft Windows Server 2003 y Windows Server 2008.

(VER MAS)

 

Ediciones Anteriores

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad