Revelan vulnerabilidad clickjacking

Pero también revelan la solución

Hace pocos días les contamos sobre dos investigadores que descubrieron una vulnerabilidad que afecta a todos los browsers y hasta a los documentos de Adobe Acrobat. Les contamos también que los descubridores prefirieron no revelarlo pero hoy nos toca contarles que ya se publicó una prueba de concepto que explica cómo ocurre este clickjacking, el engaño de hacerte pinchar en algo que no es lo que tú creías (¿Eso se aplica al Rick Rolling también?).

El asunto es que no cuesta nada usar javascript, flash, dhtml y prácticamente cualquier lenguaje dinámico para hacer salir el menú de Flash que propone al usuario habilitar su webcam y micrófono de transmitir hacia la internet. Y además, no cuesta nada usar los z-index para ocultar ese diálogo y hacernos pensar que estamos pinchando en otra cosa. La prueba, en el siguiente video:

Afortunadamente, Adobe también publicó una solución:

Quote:

Para prevenir este incidente potencial, los usuarios pueden cambiar la configuración de Flash de la siguiente manera:

Acceder a las Global Privacy Settings del Adobe Flash Player Settings Manager en la siguiente URL: Adobe - Flash Player : Settings Manager - Global Privacy Settings Panel
Seleccionar la opción "Always deny".
Confirmar.
Con esto flash no volverá a preguntar si quieres habilitar la webcam y el micrófono sino que denegará su uso a menos que estés visitando un sitio de tu lista blanca, la cual modificas en la siguiente URL: Adobe - Flash Player : Settings Manager - Website Privacy Settings panel.

Fuente: Guya y Adobe

Beno.sh · 08-oct-2008, 08:10

que mal, pueden entran desde todos lados a nuestros pcs.

nouse · 08-oct-2008, 09:08

bien por lo menos hay solucion rapida

saludos

jcalbun · 08-oct-2008, 09:08

Iexplorer: ¿Desea traspasar todos sus fondos a la cuenta de Don...?
User: no...no..hey NOOOOOOOOOOOOOOOO ctm

IronWesso · 08-oct-2008, 09:17

mmmm, ta weno pa unas minocas xD

Zwarrior · 08-oct-2008, 10:07

Ah eso era, al principio me preguntaba que podían tener en común todos los browser para que se diese tal cosa, pero entonces el problemilla proviene de Flash Player

Bueno deshabilitando . . .

Houndmaster · 08-oct-2008, 10:14

You've been Clickjacked (Rick Rolled, a quién no le ha pasado más de una vez

)

>>Plancton · 08-oct-2008, 11:18

no quise hacer click en el video ....

CharlyCP · 08-oct-2008, 11:39

deshabilitado

gracias por el dato tio amena

kalte · 08-oct-2008, 11:59

Esto con la cámara es sólo un ejemplo de cómo usar el clickjacking, deshabilitar el uso de la webcam en flash no evita que de todas maneras un flash engañe al usuario para que vaya haciendo click de la misma manera en que, en el video, se quitaban las restricciones para la cámara. Perfectamente podría estar haciendo click en cualquier otra cosa.

DarkGhostHunter · 08-oct-2008, 12:52

ClickJacking parece más un concepto que una gracia de Flash o Javascript. Eso podría hacerlo hasta con CSS

D@v!d · 08-oct-2008, 13:24

por eso siempre tengo la cam volteada o tapada cuando no la uso...

panchastico · 08-oct-2008, 22:22

Hay muchos de estos ataques sin que se noten ..
Esiste un denominado "File upload exploit" que engaña a un usuario para que utilice el "copy-paste" para ingresar texto en un cuadro que realmente esta colocando un archivo para subir al sitio sin consentimiento.
Prueben ...

https://bugzilla.mozilla.org/attachm...60&action=view

Dan un nombre de usuario para entrar a un sitio , si copias y pegas la password ocurrira algo inesperado... (noten el tipo de cuadro de texto para el password)

megaflops · 09-oct-2008, 05:11

Me hizo acordar esa vez que pense que había un video en la pagina principal de CHW

y despues resulto que era publicidad,aaaa me queria pegar, igual fue medio entretenido el video

- como no van a poder activar una webcam, si hace años había virus que habrian y cerraban la lectora de CD, haciendo ruiditos con musiquita

agradezcan que no te la hagan girar siguiendote por la habitacion

08-oct-2008, 08:10	#1
Beno.sh Registrado: octubre-2007 Location: En Mi Espacio Posts: 3.454 Mi PC	Re: Revelan vulnerabilidad clickjacking que mal, pueden entran desde todos lados a nuestros pcs. __________________ http://world5.monstersgame.es/?ac=vid&vid=58153725

08-oct-2008, 09:08	#2
nouse Usuario Registrado: abril-2007 Posts: 455	Re: Revelan vulnerabilidad clickjacking bien por lo menos hay solucion rapida saludos __________________ http://www.gulix.cl/ GULIX, Grupo de Usuarios GNU/Linux IX región Actividades, intereses, proyectos, preguntas y respuestas

08-oct-2008, 09:08	#3
jcalbun Juntando $$$ pa la moto Registrado: diciembre-2005 Posts: 217	Re: Revelan vulnerabilidad clickjacking Iexplorer: ¿Desea traspasar todos sus fondos a la cuenta de Don...? User: no...no..hey NOOOOOOOOOOOOOOOO ctm __________________

08-oct-2008, 09:17	#4
IronWesso Cavernicola Registrado: febrero-2007 Location: WiñaDelMal Posts: 459	Re: Revelan vulnerabilidad clickjacking mmmm, ta weno pa unas minocas xD __________________ ayudame, porfa

08-oct-2008, 10:07	#5
Zwarrior Coca Cola Holic Registrado: marzo-2008 Location: San José, Costa Rica Posts: 1.140 Mi PC	Re: Revelan vulnerabilidad clickjacking Ah eso era, al principio me preguntaba que podían tener en común todos los browser para que se diese tal cosa, pero entonces el problemilla proviene de Flash Player Bueno deshabilitando . . . __________________ http://www.chw.net/foro/folding-home-chw-net-f164/

08-oct-2008, 10:14	#6
Houndmaster ex DarkTrollHunter Registrado: abril-2008 Posts: 930	Re: Revelan vulnerabilidad clickjacking You've been Clickjacked (Rick Rolled, a quién no le ha pasado más de una vez ) __________________ "Una nueva forma de Benchmarking ha nacido" Haz click Aquí para saber más

08-oct-2008, 11:39	#8
CharlyCP UT2K4 Player Registrado: abril-2007 Location: En mi casa..asdf Posts: 531	Re: Revelan vulnerabilidad clickjacking deshabilitado gracias por el dato tio amena __________________ http://www.unrealcentral.org/

08-oct-2008, 11:59	#9
kalte Pajarito Nuevo Registrado: noviembre-2006 Location: Santiago Posts: 79 Mi PC	Re: Revelan vulnerabilidad clickjacking Esto con la cámara es sólo un ejemplo de cómo usar el clickjacking, deshabilitar el uso de la webcam en flash no evita que de todas maneras un flash engañe al usuario para que vaya haciendo click de la misma manera en que, en el video, se quitaban las restricciones para la cámara. Perfectamente podría estar haciendo click en cualquier otra cosa. __________________ iBook Rev. A: 300MHz PowerPC G3 @433-\|-60 GB HDD-\|-544 MB SDRAM-\|-OS X 10.4.10 crackeado para iBook-\|-Combo Drive LG GCC-4241N DFI Infinity NF4 UltraII M2-\|-Athlon 64 X2 5000-\|-40 GB HDD-\|- 2 GB de RAM DDR2 800-\|-Voodoo3 2000 PCI driver SFFT 2008

08-oct-2008, 12:52	#10
DarkGhostHunter ChileHardWare's Canapé Registrado: enero-2005 Location: En Puerto Varas Posts: 18.602 Mi PC	Re: Revelan vulnerabilidad clickjacking ClickJacking parece más un concepto que una gracia de Flash o Javascript. Eso podría hacerlo hasta con CSS __________________ DarkGhostHunter's Feedback House (Ventas Concretadas y Reputación)

08-oct-2008, 13:24	#11
D@v!d v1.9 Registrado: junio-2008 Location: venezuela Posts: 150 Mi PC	Re: Revelan vulnerabilidad clickjacking por eso siempre tengo la cam volteada o tapada cuando no la uso... __________________ intel core 2 duo 2.0ghz @ 2.4ghz 2gb ram corsair ddr2 667mhz hitachi 120gb video nvidia 8800

08-oct-2008, 22:22	#12
panchastico Pajarito Nuevo Registrado: julio-2006 Posts: 45	Re: Revelan vulnerabilidad clickjacking Hay muchos de estos ataques sin que se noten .. Esiste un denominado "File upload exploit" que engaña a un usuario para que utilice el "copy-paste" para ingresar texto en un cuadro que realmente esta colocando un archivo para subir al sitio sin consentimiento. Prueben ... https://bugzilla.mozilla.org/attachm...60&action=view Dan un nombre de usuario para entrar a un sitio , si copias y pegas la password ocurrira algo inesperado... (noten el tipo de cuadro de texto para el password)

09-oct-2008, 05:11	#13
megaflops Registrado: diciembre-2007 Location: Agroprorn Posts: 2.035	Re: Revelan vulnerabilidad clickjacking Me hizo acordar esa vez que pense que había un video en la pagina principal de CHW y despues resulto que era publicidad,aaaa me queria pegar, igual fue medio entretenido el video - como no van a poder activar una webcam, si hace años había virus que habrian y cerraban la lectora de CD, haciendo ruiditos con musiquita agradezcan que no te la hagan girar siguiendote por la habitacion __________________ INTEL E8400 Core 2 Duo 3.0GHz 45 nm 6mb L2 \|\| MSI P35 Platinum\|\| DDR2 Kingston 1x2Gb\|\| EVGA GeForce 8800GT KO 512 + Zalman VF700-Cu \|\| X7 Gaming Keyboard \|\| Philips LCD-190B 19" \|\| POWERCOOLER 500w\|\| Blog personal: www.nvidianman.com

Discusiones similares
Review	Review Starter	Category	Respuestas	Último post
Revelan falla de los DNS por accidente	Amenadiel	Noticias Breves	44	25-jul-2008 17:30
Revelan patente de Apple para Advanced Multitouch	Amenadiel	Noticias Breves	4	19-feb-2008 15:28
Últimos Catalyst revelan nuevas VGAs de AMD	[VJ]	Noticias Breves	14	12-sep-2007 20:23
Revelan método para copiar imágenes Wii	Amenadiel	Noticias Breves	27	17-ene-2007 20:16
vulnerabilidad opera 9	webtax	Windows y programas varios	0	28-jun-2006 19:33

Revelan vulnerabilidad clickjacking

Revelan vulnerabilidad clickjacking

Discusiones similares