Tuesday, July 01, 2008

Yahoo! ha solucionado un problema de seguridad

Yahoo! ha solucionado un problema de seguridad que dejaba a los usuarios de su popular servicio de correo web, en riesgo de que sus credenciales de acceso y todo el contenido de sus cuentas fuera robado.
El fallo, un problema de “cross-site scripting” (ejecución de código de un dominio en otro diferente), permitía que el identificador de la sesión iniciada por el usuario al acceder a su cuenta de correo, pudiera ser accedido por un atacante. Sin embargo, esto implicaba cierta interacción entre Yahoo! Mail y Yahoo! Messenger.La brecha de seguridad fue descubierta en mayo de 2008 por investigadores de la firma de seguridad Cenzic, la que colaboró con Yahoo! para resolver el problema. El pasado 13 de junio el agujero fue cerrado, lo que permitió a Cenzic publicar un informe detallado.
El aviso de seguridad explica que para que el fallo pudiera ser explotado, los delincuentes debían primero establecer el status de amigos de sus víctimas mediante Yahoo! Messenger, para luego llevar a cabo el ataque a las cuentas del servicio de correo web de Yahoo!.
De todos modos, el ataque solo podía funcionar cuando un usuario de Yahoo! mail había configurado el soporte para Yahoo! Messenger.
Si el atacante estaba utilizando Yahoo! Messenger 8.1.0.209 para chatear con su víctima, y la misma utilizaba el soporte de Messenger en la nueva aplicación web de Yahoo! Mail, una nueva pestaña de chat era abierta en el navegador de la víctima. Mientras chateaba, el atacante cambiaba su status a “invisible”, haciendo que se mostrara un mensaje “offline” en la ventana del navegador de la víctima.
La vulnerabilidad ocurría cuando el atacante había cambiado su status y enviado un mensaje personalizado conteniendo una cadena maliciosa en la forma de un falso mensaje de que estaba en línea (online), junto a una secuencia de comandos que se ejecutaban en la pestaña de chat de la víctima, en el contexto de Yahoo! Mail. Esto permitía al atacante obtener las credenciales de acceso a la cuenta de correo.
El problema ya ha sido solucionado, y ninguna acción es requerida de parte del usuario, aunque de todos modos se recomienda cambiar la contraseña de acceso.

No comments: