En los últimos dos años, todos hemos recibido con alegría nuevos programas basados en Webs como Google Maps y las técnicas de desarrollo de programas en Web como AJAX (Asynchronous Javascript and XML) que las posibilitan. ¿Cuántos de nosotros estamos dispuestos a pensar sobre las posibles vulnerabildiades que esas atractivas nuevas herramientas como AJAX introducen mientra están haciendo su magia entre bambalinas?
Un nuevo correo electrónico que contiene un gusano programado en Javascript puede ser una señal de que nuestro romance con lo que se ha llamado «Web 2.0» y las herramientas como AJAX que la hacen posible, podría acabarse abruptamente.
Yamanner apareció por primera vez el 12 de Junio y tiene por objetivo a los usuarios del porgrama de correo electrónico basado en Web de Yahoo. Explota un agujero desconocido hasta el momento y utiliza AJAX para agredir a los contactos que tengas en el correo de Yahoo. La apariencia del gusano es una evidencia que los escritores del código malicioso están usando AJAX y otras técnicas de desarrollo Web para crear sigilosos ataques basados en Web, según Billy Hoffman, director de ingeniería de investigación y desarrollo en SPI Dynamics, una empresa de seguridad en Web.
El autor o autores de Yamanner descubrieron cómo adjuntar Javascript malicioso a una etiqueta de una imagen estándar en HTML de forma que engañara a los filtros de código malicioso de Yahoo. Una vez que se abre el mensaje Yamanner y la imagen terminaba de cargarse, el código malicioso se había ejecutado, y se utiliza AJAX para silenciosamente conectarse de nuevo con el servidor web de Yahoo y enviar copias del virus a través de la cuenta de la víctima, dijo Hoffman.
En Octubre de 2005, un gusano basado en Javascript llamado Spacehero circuló ampliamente por la red MySpace y usó AJAX para añadir al autor del gusano, «Samy,» a la lista de «amigos» de millones de usuarios de MySpace. Yamanner es una variación del mismo tema, y la primera evidencia de una amenaza AJAX que golpea a uno de los «tres grandes» proveedores de Webmail.
Los desarrolladores web necesitan prestar una profunda atención a la validación de entrada y utilizar más profundamente informes cruzados de todo el sitio web buscando agujeros, dijo Hoffman.
Fuente: Macworld
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.