EDICIóN GENERAL
209 meneos
1926 clics
Al ataque de las alertas y el script Zombie [ENG]

Al ataque de las alertas y el script Zombie [ENG]

Una nueva investigación muestra como el dueño de una página web puede mostrar popups sin fin al usuario incluso después de que éste ha abandonado ya su página, e incluso peor, ejecutar cualquier tiempo de javascript persistente cuando el usuario ya está en otros dominios. El ataque sólo funciona en IE11, que tiene un 10% de usuarios. De momento no hay solución y el investigador que lo ha descubierto ha dejado de avisar a Microsoft de bugs debido a que sus informes anteriores han sido ignorados. El artículo incluye demo del bug.

| etiquetas: alertas , script , ataque , ie11
Razones como esta son las que me hacen navegar con noscript y sentirme seguro. Parece que java es más un malware que otra cosa el mismo.
#1 "Parece que java es más un malware..." Diría que te refieres a Javascript que es diferente a Java.
#4 Si, error mio. Me refería a Javascript. Gracias por la corrección :wall:
#1 ni java ni javascript. Es un problema de mala implementacion de un navegador y yasta...
El mejor navegador con diferencia se llama FIREFOX, y como dice #1, con 'Noscript' y 'Adblock Plus' instalados sobre Firefox practicamente no se necesita ni antivirus. #1 confunde Java con Javascript, pero no merece tanto negativo por ello.
www.mozilla.org/es-ES/firefox/new/
addons.mozilla.org/en-US/firefox/
 media
#29 ublock origin le gana de calle al adblock plus.
#30 No lo conozco, puedes explicar un poco por encima en qué se diferencia?
#31 chupa menos recursos.
#30 Noscript hace innecesario a adblock Plus (que tampoco es que sea efectivo para parar javascript malicioso)
#1 Noscript es para parguelas, los hombres de verdad usamos lynx.
ha dejado de avisar a Microsoft de bugs debido a que sus informes anteriores han sido ignorados.

Por eso IE solo tiene el 10%, que me parece mucho.
#2 Se refieren a IE11. IE en todas sus versiones tiene bastante más.
#10 Es el dato que pone en la notícia, pero tienes razón. En todas la versiones tendra algo mas.  media
Menudo coladero
Y mientras tanto W10 con el spam de... Sabes que ie es más seguro que firefox?
#6 eso es lo más gracioso, que todavía hay quien dice que IE ha cambiado, que ya no es el dinosaurio que era en la versión 6, como si esa fuese la única mala. :palm: :palm: :palm:
#13 No sé si sabes que el navegador por defecto en Windows es Edge. Vives en el pleistoceno.
#13 #6 El navegador de Windows 10 es EDGE (aunque yo no lo utilizo nada más que para ver si mis diseños web funcionan bien en el).

#15 Afectivamente no te había leido.
#16 Gracias por tus muestras de cariño.
#15 #16 no se si sabéis que IE11 sigue teniendo soporte, y sigue viniendo instalado en Windows 10
#33 Lo hacen por retrocompatibilidad, pero ya no van a haber nuevas versiones de IE.
#34 vamos, que admites que es un coladero y lo seguirá siendo porque no se actualizará. En la misma noticia dicen que Microsoft ignora los reportes de los investigadores. Resumiendo, que IE es la misma mierda de siempre, y siempre lo ha sido. En este punto viene bien recordar que IE 11 es el navegador por defecto de Windows 7, el sistema operativo de escritorio más utilizado, y que Edge solo funciona en Windows 10, que solo usan una cuarta parte de PCs.

A partir de aquí se puede inferir que…   » ver todo el comentario
#35 Pues sí, en Microsoft quieren que la gente migre ya a Windows 10 y esa es una de las políticas para forzar: no dar apoyo ninguno a Internet Explorer. Por supuesto que es una decisión discutible, pero es lo que hay.

El segundo párrafo que dices es absurdo porque Edge sí respeta estándares de la web y en cuanto a seguridad está a la par que el resto de navegadores. Precisamente cambiaron el nombre del navegador por la mala reputación de IE. No van a cometer el mismo error.
#36 he leído muchas veces textos similares a tu segundo párrafo, pero cambiando Edge por IE9, después por IE10 y por último por IE11. Y aquí estamos, y sabemos lo que sabemos.

Edge sigue fallando en muchísimas webs, peta de lo lindo en webs un poco complejas. Y además sigue teniendo problemas de compatibilidad, por ejemplo con las pasarelas de pago, y con muchas otras cosas. Hablar de seguridad es hablar por hablar, eso mejor se lo dejamos a los expertos, aunque yo tengo claras mis…   » ver todo el comentario
#35
Para decir que es un coladero tienes que mostrar que es un coladero, no solo este único fallo.

Internet Explorer no actualizará de versión porque ha sido cambiado por Edge, que sí se actualizará y esto ocurre con mucho software.

Por contra, Internet Explorer sigue recibiendo actualizaciones de seguridad de forma normal y las seguirá recibiendo hasta el fin de soporte. ¿qué este dice que no le hacen caso ante una vulnerabilidad no crítica? oh, gran argumento para decir que está abandonado…   » ver todo el comentario
#38 ¿No te parece grave poder seguir ejecutando Javascript después de que el usuario haya abandonado la página?

Si es así me queda claro que no tienes ni puta idea de informática, o al menos de como funciona un navegador..

Con Javascript puedes cambiar absolutamente toda la página manipulando el DOM. Eso quiere decir que si accedes a una página con un script malicioso y luego este te redirige a Facebook, por poner un ejemplo, el script puede robarte absolutamente todos los datos de Facebook,…   » ver todo el comentario
#41 ¿seguir ejecutando javascript en otras ventanas? Esto es por culpa de ActiveX. Ve a opciones de Internet, Seguridad, Nivel personalizado: baja hasta "ejecutar controles y complementos ActiveX", marca "deshabilitar" y este fallo dejará de funcionarte, al mismo tiempo que puedes navegar por Menéame sin problemas con su javascript.

Pero vale, te doy la razón porque yo sólo me quedé en la idea de los mensajes persistentes, que son inofensivos. Para ti toda la razón y espero…   » ver todo el comentario
#47 yo no voy a hacerle mas caso despues de leerle que "edge es ie12" xD
#49 es un hecho irrefutable que Edge es el sucesor de IE11, y que hereda gran parte del código. Prueba de ello es que tiene un modo de compatibilidad con IE.

Negar que Edge es el sucesor de IE porque le han cambiado el nombre es lo mismo que negar que Blink, el motor de renderizado de Chrome, es el sucesor de Webkit porque le han cambiado el nombre. Ambos son forks, y obviamente ambos han descartado código antiguo, pero no por ello dejan de ser sucesores.
#60 casualidades de la vida, otro bug publicado hoy mismo por Google, 90 días para arreglarlo y en Microsoft han sudado del problema hasta que lo han publicado, y aún no hay parche:

bugs.chromium.org/p/project-zero/issues/detail?id=1011

Comparando una actualización mayor de Windows con la actualización periódica y automática de Firefox ya te has coronado. xD


Para #47 que decía que Edge no tiene nada que ver con IE, este bug afecta a la misma función en IE y en Edge, seguro que es casualidad.. ;)
#63 Bien, tira cohetes, has encontrado tres casos ¿quieres que hagamos lo mismo con Android a ver quién sale ganando?

Windows y Firefox: Comparando dos programas en donde por pura lógica las nuevas versiones son mejores que las anteriores. Si no te gusta el ejemplo de firefox, toma cualquier distribución de linux de hace siete años y compárala con la última a ver cuál es mejor y cuál tiene mayores medidas de seguridad. O mejor no, porque igual descubres que hace al menos dos años que no…   » ver todo el comentario
#35 no cambiara de version no es igual a no se actualizara.
#40 ¿Has leído la noticia? El investigador ya no envía reportes a Microsoft porque no se molestan ni en contestarle. Sabiendo esto, las actualizaciones de IE11 como mucho cambiarán el número de compilación, porque está claro que los agujeros de seguridad no se preocupan en corregirlos.
#42 ham, claro, cambian el numero de build para hacer bonito.
#43 no se que cambiarán, pero esta claro que este fallo y muchos otros que ha reportado este investigador los han ignorado.

No se, quizás tus reportes de seguridad si los tengan en cuenta, o quizás tengas contactos en el equipo de desarrollo de IE y sabes mejor que este investigador los fallos que corrigen y los que no. O quizás hablas por hablar y no tienes ni puta idea de lo que hablas.
#44 con el de IE no :-P con otro, si ;)

y como dije mas arriba, existe o existia un exploit similar para chrome. Pero claro, es facil hablar de lo que desconoces de otras personas.
i.imgur.com/x7kU7Jr.png
#45 confirmamos que no tienes ni idea de qué trata esto.

El problema no es que haya un bucle de alerts, el problema es que en IE no se pueden bloquear, en cambio en Chrome si, por lo que tu enlace no tiene nada que ver con el artículo.

Pero el mayor de los problemas que trata este artículo es que en IE11 una vez abandonada la página, el script se sigue ejecutando. Por lo que si entras en una web con un script que aproveche este fallo, y después te vas a Google, a Facebook o a la web de tu…   » ver todo el comentario
#44 "no se que cambiarán"
Pues prueba a leerte los boletines de seguridad.

"pero esta claro que este fallo y muchos otros que ha reportado este investigador"
Este investigador es un investigador más de tantos que hay. Si haces lo que te acabo de decir, podrás ver los fallos que corrigen.

No te obceques.
#50 ¿Microsoft dando información sobre sus actualizaciones? xD xD xD xD xD xD

Microsoft nunca ha dado información técnica sobre los fallos de seguridad de su software, salvo excepciones puntuales. La política de seguridad de Microsoft es la conocida como 'Security by obscurity', es decir dar el mínimo de información sobre los fallos que encuentran y los que parchean. Con Windows 10 directamente dejaron de dar el mínimo de información de las actualizaciones, de seguridad y de…   » ver todo el comentario
#52 Quizás deberías mirar mejor porque aunque no sea tanta como tú quieres (ni te hace falta), de sobra te llega para no decir la tontería esa de que IE no se actualiza o que no sabes si se corrigen los fallos. Por lo demás, paso de discutir aunque a ti se te ve con ganas, la discusión nunca fue sobre cuántos detalles da MS sobre sus actualizaciones.

En cuanto a Google, a ver, ¿parchean? ¿no parchean? ¿parchean pero in extremis? aclárate porque dices una cosa y la contraria a la vez.

Con…   » ver todo el comentario
#54 si, en ese caso le dieron menos tiempo, porque, como explican en el blog de seguridad de Google, tenían constancia de la existencia de malware que explotaba ese fallo. Se lo reportaron a Adobe y Microsoft al mismo tiempo, en Adobe se lo tomaron en serio y lanzaron un parche en 6 días, en cambio en Microsoft lo ignoraron y lloraron una vez la información fue publicada.

Es gracioso comparar las explicaciones del blog de seguridad de Google con las de Microsoft:

''After 7 days, per our…   » ver todo el comentario
#55 Escribes mucho para no decir nada, una vez más demuestras que lo único que te interesa es buscar discusión.

Adobe tenía que corregir una vulnerabilidad en flash. Por contra, Microsoft tenía que corregir dos vulnerabilidades, una en flash y una escalada local de privilegios en el kernel de Windows. Igual de fácil ¿verdad? corregir una es igual de fácil que corregir dos vulnerabilidades de las cuales una era en el kernel.

La primera, la de flash, ya estaba corregida por parte de MS, la…   » ver todo el comentario
#56 ni una sola palabra al hecho de que la vulnerabilidad ya estaba siendo explotada por malware, aunque eso no le impidió a Microsoft echar mierda usando demagogia, acusando a los investigadores de poner en peligro a los usuarios, cuando en realidad llevaban mucho tiempo peligro y hubiesen tardado más en corregirlo si no fuese por Google.

Respecto a la nueva versión, mezclas churras con merinas. Nadie está diciendo que lleven la nueva interfaz de Windows 10 a Windows 7, nadie está pidiendo…   » ver todo el comentario
#57 Yo ni una sola palabra a lo de que ya estaba siendo explotada y tú ni una a la mayoría de lo que te digo ¿te parece igual de fácil corregir un bug en flash que corregir dos, uno de los cuales en el kernel?

Sí, se estaba explotando... y por si todavía no estaba siendo lo suficientemente aprovechada, google la publica para que todos los demás se enteren y puedan aprovecharla y esto a ti no te parece poner a la gente en riesgo. Si tan importante era publicarla y si de verdad no ponías a nadie…   » ver todo el comentario
#33 Si se que viene. Pero el oficial es EDGE en Windows 10 también tiene el panel de control del 7 y un montón de cosas que dejaron. De todas formas lo de que seguía teniendo soporte no lo sabía.
#13 IE ha cambiado, ya no es el dinosaurio que era... hay que darse de que era mucho, pero que muy mucho peor xD
#6 La verdad oigo mucho de eso del spam de W10, pero el único que he visto hasta ahora es un mensajito para probar Office365 que me sale una vez al mes o algo así. ¿Será cosa de que uso la versión Pro?
#22 creo que esos comentarios son mas que nada por la recopilación de datos personales que hace Win10.
#22 no, a mi tambien me han salido con la pro
Bueno, Chrome también permite a páginas mostrar continuamente un mensajito y una locución que te dicen que instales no sé qué para cerra la página. Y la única forma de salir del bucle es conseguir abrir el administrador de pestañas de Chrome y matarlas. Ni siquiera funciona seleccionar la casilla que supuestamente te permite impedir que la página muestre más avisos.
#7 En pc Alt-F4 (cerrar app/ventana) va mas rápido que los pop-ups
#7 justamente eso le ocurrió ayer a mi padre, por buscar una película online en webs piratillas. Con apretar Ctrl+F4 (Cerrar pestaña) fue suficiente para solucionarlo, no hizo falta cerrar Chrome entero como dice #8.

Lejos, muy lejos, de este bug que trata la noticia. Parece que no te has molestado ni en leer la entradilla, donde dice bien claro que las alertas siguen apareciendo incluso después de abandonar la página, ya que puede acaparar todo el tiempo de ejecución de Javascript, es decir bloquear el navegador e incluso el equipo.
#12 Como dice la noticia, en Chrome y otros navegadores "decentes", a la segunda alerta te pregunta si quieres bloquear las alertas de esa página... pero en MSIE, se pueden sacar alertas que no van directamente por JavaScript, sino por ActiveX, y en esas no pregunta nada.

La solución sería, o bloquear ActiveX, o simplemente no usar MSIE.
#20 Recuerdo hace unos meses haber leido esta noticia tambien con chrome, tal vez la implementacion sea diferente.
#7 Prueba con CTRL+W
A mi no me queda más remedio que navegar con Javascript desactivado ya que el navegador se ralentiza que da gusto en las típicas web cargadísimas de código, muchas veces simplemente para mostrar un par de párrafos o mantener bordes redondeados en IE7.

Para usuarios de Unix o Linux, una configuración que ayuda bastante a mitigar problemas de seguridad es correr distintos perfiles de navegación aprovechando la separación de privilegios de Unix, cada uno con su usuario y sin permiso de lectura para el home del usuario principal. Aquí explican como: www.dragonflybsd.org/docs/docs/handbook/RunSecureBrowser/
#9 Hay alguna página web que funciona sin javascript? :troll:
#17 Si no funciona sin JavaScript, entonces no es una página web, sino una presentación multimedia cutre :troll: :-*
#17 Con wget me la sopla javascript :troll:
Para los que no saben de programación: el artículo muestra varias formas extremadamente simples (de cuatro o cinco líneas de código) de conseguir mostrar mensajes indefinidamente, sin que internet explorer 11 haga nada para evitarlo. La idea es aburrir al usuario hasta que haga click donde a ti te conviene, para que se descargue un virus.
Antivirus simple:
Control-Alt-Delete -> Finalizar proceso
Tiene una solución , la solución GNU /Linux
Ahora la moda es realizar las páginas con mucho codigo cliente: javascript y realizar llamadas Ajax al servidor... NoScript es un puto coñazo... pero necesario cuando lo enseñas va todo como la seda :troll:
comentarios cerrados

menéame