La barra de herramientas de Yahoo! tiene un fallo que permite realizar ataques XSS

Escrito por Adrián Crespo
Seguridad
0

Menos de un mes después del último problema de seguridad detectado en algunos servicios de la compañía, volvemos nuevamente a vernos obligados a hablar de un problema de seguridad,  afectando esta vez a la barra de herramientas que se puede instalar como complemento en los navegadores. Yahoo! ya se encuentra informada del problema de seguridad.

Se trata de un complemento que es muy utilizado por los usuarios, sobre todo porque aporta funcionalidades a la navegación web dentro de las páginas de la compañía.

Sin embargo, lo curioso es que esta barra de herramientas se instala junto con otro tipo de software, como programas de ofimática, antivirus o editores de fotografía o de vídeo. Lo que queremos decir es que su instalación es recomendada dentro del propio instalador de estas aplicaciones y viendo las costumbres que poseen muchos usuarios que cuando instalan una aplicación se amparan a la costumbre del “Dale todo a siguiente y después a terminar” es probable que muchos no sepan ni que la tienen instalada o que se pregunten cómo ha podido llegar al equipo.

La vulnerabilidad detectada en la barra de herramientas permite llevar a cabo ataques en sitios web como Flickr, Yahoo, Google, Pinterest, Youtube, Amazon o Twitter, entre otros.

yahoo! ataque xss

El problema se encuentra localizado por parte de Yahoo!

Tal y como hemos puntualizado con anterioridad, la barra de herramientas permite al usuario poder disfrutar de más funcionalidades, casi todas ellas complementarias a las que se ofrecen en las páginas web.

Sin embargo, todo parece indicar que es la forma de relacionarse la barra de herramientas con las páginas la que provoca la aparición de esta vulnerabilidad.

Como ya hemos dicho, Yahoo! se encuentra trabajando en solucionar el proble, sin embargo, hasta que el problema sea solucionado los usuarios que utilicen este complemento están expuestos a que su navegación sea interceptada y que sean redirigidos a páginas cuyo contenido sea malicioso, incluso poder llegar a producirse el robo de cookies.

Fuente | The Hacker News