Yahoo! corrige grave vulnerabilidad en su correo


Yahoo! ha solucionado un problema de seguridad que dejaba a los usuarios de su popular servicio de correo web, en riesgo de que sus credenciales de acceso y todo el contenido de sus cuentas fuera robado.






El fallo, un problema de "cross-site scripting" (ejecución de código de un dominio en otro diferente), permitía que el identificador de la sesión iniciada por el usuario al acceder a su cuenta de correo, pudiera ser accedido por un atacante. Sin embargo, esto implicaba cierta interacción entre Yahoo! Mail y Yahoo! Messenger.

La brecha de seguridad fue descubierta en mayo de 2008 por investigadores de la firma de seguridad Cenzic, la que colaboró con Yahoo! para resolver el problema. El pasado 13 de junio el agujero fue cerrado, lo que permitió a Cenzic publicar un informe detallado.

El aviso de seguridad explica que para que el fallo pudiera ser explotado, los delincuentes debían primero establecer el status de amigos de sus víctimas mediante Yahoo! Messenger, para luego llevar a cabo el ataque a las cuentas del servicio de correo web de Yahoo!.

De todos modos, el ataque solo podía funcionar cuando un usuario de Yahoo! mail había configurado el soporte para Yahoo! Messenger.

Si el atacante estaba utilizando Yahoo! Messenger 8.1.0.209 para chatear con su víctima, y la misma utilizaba el soporte de Messenger en la nueva aplicación web de Yahoo! Mail, una nueva pestaña de chat era abierta en el navegador de la víctima. Mientras chateaba, el atacante cambiaba su status a"invisible", haciendo que se mostrara un mensaje "offline" en la ventana del navegador de la víctima.

La vulnerabilidad ocurría cuando el atacante había cambiado su status y enviado un mensaje personalizado conteniendo una cadena maliciosa en la forma de un falso mensaje de que estaba en línea (online), junto a una secuencia de comandos que se ejecutaban en la pestaña de chat de la víctima, en el contexto de Yahoo! Mail. Esto permitía al atacante obtener las credenciales de acceso a la cuenta de correo.

El problema ya ha sido solucionado, y ninguna acción es requerida de parte del usuario, aunque de todos modos se recomienda cambiar la contraseña de acceso.


* Referencias:

XSS Vulnerability Affecting Yahoo! Mail
http://blog.cenzic.com/public/item/207752

Yahoo Mail vulnerability discovered, fixed, company says
http://tinyurl.com/5su72k

Fuente:
Por Redacción VSAntivirus
http://www.vsantivirus.com

Otras noticias de interés:

Autoridad de Internet acusa a EE UU de secuestrar dominios
El presidente de GNSO denuncia su desactivación unilateral por parte de las autoridades. El gobierno de Internet está siendo amenazado por la presión de las autoridades estadounidenses que proceden a la desactivación unilateral de dominios presci...
Actualizaciones críticas para Firefox y Thunderbird
Mozilla ha publicado actualizaciones de seguridad para sus productos Firefox 2.x, Firefox 1.5.x y Thunderbird 1.5.x, y también para SeaMonkey 1.0.x....
Crean una máquina que inventa emulando la creatividad humana
Un informático que trabaja en redes neuronales ha creado una Máquina de la Creatividad que es capaz de generar ideas nuevas, en lo que constituye el primer intento de obtener creatividad artificialmente. Se trata de un programa de ordenador que int...
Vulnerabilidades de Seguridad en Aplicaciones Web
El uso de aplicaciones Web crece rápidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes. ...
Ejecución de código a través de un ActiveX de RealPlayer
Se ha descubierto una vulnerabilidad en RealPlayer que podría ser aprovechada por un atacante remoto para causar una denegación de servicio y posiblemente, ejecutar código arbitrario en un sistema vulnerable....
Microsoft lanza la madre de todos los parches
Microsoft lanzó ayer un nuevo parche para Internet Explorer que promete arreglar seis fallos de seguridad recientemente descubiertos que afectan al navegador. El parche, para IE 5.01, 5.5, y 6.0, incluye la funcionalidad de los que habían salido an...
Cómo será la Web 3.0
Vint Cerf, uno de los padres de la internet, detalló cómo será la red del futuro y qué rol jugarán los tradicionales medios impresos, en una conferencia que brindó en San Pablo...
¿Qué es un forense informático?
Rastrean en forma minuciosa los crímenes cibernéticos hasta dar con los culpables. Inicia una investigación, antes que nada revisa, entre otros elementos, las bitácoras y los archivos relevantes en el equipo de cómputo, y también identifica usu...
La Justicia intenta poner freno a los virus
La guerra contra los virus se está llevando a cabo desde diferentes frentes. Por un lado los fabricantes de antivirus ponen todo su empeño en evitar una propagación masiva de los códigos maliciosos y, ahora, la policía está coordinando todos su...
Nuevo troyano “Calavera” ataca el modelo 7610 de Nokia
2004 ha sido el año en que los códigos malignos han iniciado una ofensiva contra los teléfonos móviles. Según la compañía de seguridad informática F-Secure, el modelo Nokia 7610 es vulnerable a un troyano que reduce la funcionalidad del apara...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • correo
  • corrige
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • grave
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • yahoo