11 de septiembre de 2011

VULNERABILIDAD DEL TIPO "Cross Site Scripting" EN "jQuery 1.6"

Resuelta la vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6 y que podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).

Detalles de la biblioteca jQuery:
  • jQuery es una biblioteca o framework JavaScript de software libre y código abierto.
  • Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.
Detalles de la resolución:
La solución adoptada es que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de la variable 'location.hash', y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.
Recomendaciones:
  • La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery.
  • Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.
Fuente: Hispasec

CONTRASEÑA FACIL, FACIL, PARA SISTEMA ONLINE DE SUMINISTRO DE AGUA POTABLE EN OSLO

Digitando mediante Bluetooth la contraseña "0-0-0-0" desconocidos pudieron haber accedido al sistema de control y suministro de agua potable en la capital de Noruega, Oslo.
  • La información ha sido presentada en exclusiva por el periódico noruego VG, según el cual al conocerse el informe sobre la seguridad del sistema de agua potable de Oslo, éste fue inmediatamente clasificado como secreto por las autoridades.
  • El potencial de sabotaje va desde el terrorismo bioquímico a la inundación del embalse de agua potable con aguas servidas
Detalles del fallo de seguridad:
  1. Según VG, el informe revela una seguridad tan deficiente que "es casi imposible de creer".
  2. Cualquier intruso pudo haber asumido el control del suministro de agua potable de Oslo mediante un teléfono móvil y conexión Bluetooth.
  3. La contraseña para acceder al sistema era la pre-establecida por el fabricante; "0-0-0-0".
Consecuencias de un posible acto terrorista:
  1. Al tener acceso al sistema, un saboteador pudo haber interrumpido el suministro de agua, alterado la presión o, en el peor de los casos, envenenado el agua con substancias tóxicas.
  2. El potencial de daño mediante un acto terrorista es desolador.
Antecedentes del caso:
  • El tema es especialmente sensible, y por cierto inexplicable, ya que en 2004 se elaboró un informe sobre la seguridad de diversos servicios e infraestructuras básicas de Oslo, concluyéndose que el agua potable era un tema vulnerable.
  • Aún así, la autoridad responsable optó por conservar la contraseña "0-0-0-0" en un sistema de importancia crítica.
Fuente: Diario VG, Noruega.

NUEVO TROYANO SECUESTRADOR DE "PC"

El troyano “secuestra" al equipo de la víctima hasta que se introduce un código determinado. Para obtener el código, los ciberdelincuentes solicitan a la víctima 100 euros por el “rescate" .
  • “Este tipo de troyanos son muy peligrosos ya que una vez infectado el equipo, es tremendamente complicado eliminarlo de forma manual, lo que obliga a muchos usuarios a pagar el rescate o formatear la PC", comenta Luis Corrons, Director Técnico de Pandalabs.
  • Y añade: “Además, al simular proceder de Microsoft y amenazar con actuaciones de las autoridades, muchos usuarios creerán lo que dice el troyano y realizarán el pago sin dudarlo, para no buscarse problemas".
Detalles del malware:
  • PandaLabs, el laboratorio de malware de Panda Security, – The Cloud Security Company – ha descubierto un nuevo troyano del tipo ransomware que simula proceder de Microsoft.
  • El troyano, bautizado como Ransom.AN, alerta al usuario de que su copia de Windows no es legal y amenaza con inutilizar el dispositivo si no se introduce un código específico, el cual, se le facilitará al usuario tras pagar la suma de 100 euros.
Distribución y "modus operandi" del malware:
  1. Este malware, dirigido específicamente a usuarios de habla alemana, puede distribuirse de múltiples formas, siendo las más utilizadas mensajes de spam y descargas P2P.
  2. Tras alertar al usuario de que su copia de Windows no es legítima, le informa de las posibilidades de pago invitándolo a realizarlo a través de una página web maliciosa, donde se le solicitarán los datos de su tarjeta de crédito.
  3. Incluso, para incentivar el pago, Ransom.AN amenaza a la víctima comunicándole que la fiscalía ya cuenta con sus datos para tomar medidas si no se realiza el pago antes de que expire un plazo de 48 horas, tras el cual además se perdería toda la información de la PC.
Recomendaciones:
Para estar protegido de esta y otras amenazas, siempre recomendamos contar con una buena protección instalada y actualizada en el PC.
Fuente: PandaLabs