Jump to content
YOUR-AD-HERE
HOSTING
TOOLS
992Proxy

Locked Grave vulnerabilidad en Flash de Google Chrome explotable a través de ClickJacking

fudmario

By INACTIVE fudmario
in News

 Share

Recommended Posts

fudmario Aspiring Hacker

INACTIVE fudmario

Posted
Posted

El investigador ruso,

This is the hidden content, please
, descubrió una grave vulnerabilidad en Google Chrome que permite a un atacante tomar control sobre la webcam y micrófono de la computadora de la potencial víctima. Una vulnerabilidad similar fue resuelta en el mes de Octubre del 2011.

Google Chrome es uno de los navegadores más utilizados alrededor del mundo. La amplia variedad de extensiones han transformado a este navegador en uno de los más completos. Sin embargo, en este caso, se encontró una vulnerabilidad similar a la descubierta en el 2011 donde, para llevar a cabo la explotación, se utiliza una técnica conocida como ClickJacking utilizada para engañar usuarios a través de navegadores web.

Específicamente, la vulnerabilidad afecta a Adobe Flash y, aprovechando el ClickJacking, se explota en el entorno del navegador. Para esto, se crea una animación transparente sobre una imagen y luego se establece la ventana de diálogo que habilita los permisos para habilitar la webcam y el micrófono.

En esta instancia, el atacante intentará convencer a la víctima que haga clic sobre la animación para que en realidad autorice el inicio de la webcam y el audio. El atacante puede lograr esto mediante un falso botón para iniciar la animación y en ese mismo sitio establecer el botón para permitir iniciar el video y audio de la potencial víctima.

Este ataque funcionará de acuerdo a como maneje las transparencias el navegador. En alguno de ellos la transparencia no funciona bien y es posible visualizar la ventana de diálogo tal como se observa en la siguiente captura:

 

This is the hidden content, please

 

Sin embargo, en otros navegadores la transparencia si funciona y la víctima no puede visualizar la ventana emergente solicitando la autorización. Analizando el código de la prueba de concepto del investigador ruso, se pueden ver las propiedades para ocultar la ventana de dialogo:

 

This is the hidden content, please

Asimismo,

This is the hidden content, please
informó que Adobe indica que este es un problema de Google Chrome (uno de los navegadores vulnerables). El problema radica es que no es posible disponer de ventanas de dialogo de Flash de tipo pop up (emergentes) sobre el navegador, sino que están limitadas al propio entorno del navegador. De esta manera, se espera que en el transcurso de la semana este problema sea solucionado.

 

Es importante que el usuario tome conciencia que al visitar sitios web no confiables podría resultar en que un tercero pueda espiar a la potencial víctima e incluso grabarla. Es por esto recomendamos Tomar conciencia sobre la existencia de estos ataques es el comienzo para experimentar una forma más segura de utilizar Internet.

 

Fernando Catoira

Analista de Seguridad

 

 

Fuente:eset-lab

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.