Adobe repara el 'clickjacking' Flaw

Adobe Systems ha lanzado una nueva versión de su software Flash Player, solucionando un error crítico de seguridad que podría convertir a Internet en un lugar peligroso para los navegantes.

El nuevo software Flash Player 10, publicado el miércoles, corrige fallas de seguridad en el software multimedia de Adobe incluyendo errores que podrían permitir a los piratas informáticos "Lo que se conoce como ataque de clickjacking", escribió el portavoz de Adobe David Lenoe en un blog publicado.

Para aquellos que no pueden actualizar esta nueva versión de Flash, un parche de seguridad de Flash 9 todavía está a un mes de descanso, agregó.. Adobe clasifica el error de clickjacking como 'crítico'.

[Más información: cómo eliminar el malware de su PC con Windows]

Aunque no es ampliamente utilizado por delincuentes, el clickjacking ha recibido mucha atención desde que se discutió por primera vez un mes hace. Flash no es el único software que es vulnerable a un ataque por clickjacking, pero los ataques Flash han sido considerados entre los más peligrosos.

Los investigadores de seguridad que descubrieron el problema, Robert Hansen y Jeremiah Grossman, tenían la intención de discutir completamente el clickjacking en una presentación de la conferencia de seguridad del 24 de septiembre. Pero retrocedieron y dieron una versión reducida de su charla cuando Adobe pidió más tiempo para parchear su software.

Sin embargo, la semana pasada, el investigador de seguridad Guy Aharonovsky mostró cómo funcionaría un ataque de clickjacking de Adobe Flash, y con el información ahora al aire libre, Hansen y Grossman hicieron públicas sus conclusiones.

En un ataque de clickjacking, los hackers utilizan una variedad de técnicas para tomar el control de los enlaces que la víctima está haciendo clic. En un ataque, por ejemplo, el atacante primero tendría que engañar a la víctima para que visite una página web maliciosa y luego haga clic en lo que parece ser un enlace web regular. En realidad, la víctima estaría haciendo clic en algo completamente diferente, como un objeto Flash que enciende su micrófono. "Es casi imposible para un usuario determinar qué va a pasar cuando hace clic en un enlace", dijo Hansen, que es CEO de SecTheory.org, en una entrevista la semana pasada.

Un clickjacker podría interceptar las PC de las víctimas, forzar para ejecutar transacciones de acciones en línea, eliminar páginas de blogs, cambiar la configuración de un enrutador o firewall, crear nuevas cuentas de correo web o incluso forzarlas a descargar software, dijo Hansen.

Como el clickjacking afecta a otros complementos del navegador, la mejor manera de solucionarlo El problema del clickjacking puede ser cambiar la forma en que funcionan los navegadores, dijo Hansen. "Los fabricantes de navegadores comprenden el problema y están tratando de encontrar formas de mitigarlo", dijo.