viernes, 22 de agosto de 2008

Kriptópolis: Banderines publicitarios en Flash secuestran el contenido del portapapeles.

¿Eres un fiel usuario de Windows, GNU/Linux o Mac OS X? ¿Eres un fiel usuario de Firefox, Internet Explorer o Safari? Ha surgido un porblema de seguridad que hara que esto importe poco; si has instalado el reproductor de Flash de Adobe cualquier anuncio malicioso puede secuestrar el control del contenido del portapapeles del escritorio, anotando en él una dirección poco recomendable que ofrece un falso antivirus definitivo.

El secuestro del portapapeles se puede considerar literal, al menos hasta que se cierre el navegador o la correspondiente pestaña. La vulnerabilidad solo permite pegar la dirección fraudulenta en cualquier lado. Si se es un usuario que acostumbra copiar y pegar direcciones en la barra de direcciones del navegador, y se ha resultado afectado, se corre el riesgo de ingresar a la dirección en el portapapeles secuestrado. La vulnerabilidad está siendo explotada mediante anuncios en sitios como Newsweek, Digg y MSNBC.

Hay una demostración inofensiva de esta vulnerabilidad, creada por Aviv Raff, en este enlace.

La forma más simple para evitar este problema es utilizar Firefox, utilizando la extensión NoScript, la cual, una vez instalada, impide la ejecución de etiquetas <sript> y <object>.

Fuente: Kriptópolis.

Ver artículo original

Publicado con El navegador Flock