El parche de seguridad para el correo de Yahoo no es efectivo

(Tomado de csospain.es) Yahoo ha solucionado un error de XSS en su aplicación de correo electrónico a principios de esta semana, pero, al parecer, el parche no repara el problema dejando a los usuarios en riesgo, según han denunciado algunos analistas de seguridad.

Algunos analistas de seguridad han alertado de que un parche de seguridad lanzado por Yahoo esta semana para resolver una seria vulnerabilidad detectada en su servicio de correo electrónico no soluciona el problema.

Fue Shahin Ramezany, un experto en seguridad que opera con el apodo de “Abysssec”, quien descubrio el error de XSS en el correo electrónico de Yahoo, una vulnerabilidad que permite a un atacante acceder a la cuenta de Yahoo de su víctima si logra que esta sea engañada con éxito al hacer clic en un enlace malicioso. La vulnerabilidad fue parcherada por Yahoo el lunes, pero la compañía Offensive Security y el propio Ramezany seguran que el parche no resuelve el problema.

”Con una pequeña modificación que se haga al código de prueba original escrito por Abysssec, todavía es posible explotar la vulnerabilidad de Yahoo, lo que permite a un atacante tomar completamente el control de la cuenta de su víctima”, señaló Offensive Security en su blog.

Ofensive Security colgó un video que muestra cómo funciona el ataque, pero obvió los detalles que podrían permitir a los atacantes replicarlo. La compañía afirma que los filtros XSS proporcionar poca defensa contra un ataque y advirtió que la gente debe tener cuidado en no hacer clic en enlaces dentro de correos electrónicos hasta que Yahoo solucione la vulnerabilidad.

Autor: Hilda Gómez
Fecha: 10/01/2013

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s