Por segunda vez en aproximadamente un mes, se ha encontrado una falla importante en el popular software de seguridad de código abierto. El agujero, que existe en las herramientas de inicio de sesión OAuth y OpenID, afecta a muchos sitios web, incluidos Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub y otros.
La falla fue descubierta por Wang Jing, un estudiante de doctorado en la Universidad Tecnológica de Nanyang en Singapur. Jing señala que la falla grave de "redireccionamiento encubierto" puede actuar como una ventana emergente de inicio de sesión basada en el dominio de un sitio afectado. Los sitios afectados, explotados por un atacante, pueden hacer que los usuarios pierdan el control de su información de inicio de sesión y datos personales, incluidas las direcciones de correo electrónico, las fechas de nacimiento y las listas de contactos.
Además, la falla puede resultar en ataques Open Redirect, donde los usuarios son redirigidos a un sitio web de la elección de un atacante, lo que puede significar un daño mayor.
“El parche de esta vulnerabilidad es más fácil de decir que de hacer”, dice Wang Jing. Se ha puesto en contacto con las principales empresas afectadas para informar de la falla, aunque reconocen que será difícil de solucionar en el corto plazo.
Los expertos en seguridad, incluido Jeremiah Grossman, fundador y director ejecutivo interino de WhiteHat Security, están de acuerdo con los hallazgos de Wang.
Sin embargo, Brandon Edwards, vicepresidente de SilverSky Labs en SilverSky, enfatiza que este no es un peligro de seguridad tan importante como Heartbleed:
“Exponer las preferencias musicales, las listas de amigos y otro contenido social puede ser delicado y, en algunos casos, grave”, dice. “Sin embargo, en términos generales, el riesgo de exposición a información crítica es mucho menor y está aislado de la información que los sitios vulnerables de otro modo estarían exponiendo a terceros de todos modos. Esto es mucho menos impactante que Heartbleed, que tiene el potencial de exponer la información más crítica que procesa un sitio.
Además, esta vulnerabilidad no está tan extendida como Heartbleed, ya que la mayoría de los sitios que utilizan estas tecnologías son sociales. redes, por lo que esto no representará una amenaza para los bancos y no se integrará en equipos de red como enrutadores o VPN pasarelas. Finalmente, esta vulnerabilidad aún depende de la interacción del usuario: un usuario debe ser engañado, atraído o convencido para permitir el acceso con su cuenta ".
Tendremos más noticias a medida que se publique esta historia.
Fuente: Tetrafilo
Vía: CNet