Llegamos a ustedes gracias a:



Alertas de Seguridad

Ante una supuesta vulnerabilidad

[31/10/2011] Facebook ha restado importancia a la supuesta vulnerabilidad de su página web que podría permitir a los hackers enviar un archivo potencialmente malicioso a cualquiera en Facebook.
La cuestión se refiere a una característica de Facebook que permite a un usuario enviar a otro que no es su amigo un mensaje con un archivo adjunto. Facebook prohíbe enviar archivos ejecutables, pero una prueba de seguridad encontró un modo de eludir ese filtro.
Nathan Power, que trabaja para la consultora tecnológica CDW, escribió en su blog que Facebook analiza parte de una petición de POST al servidor para ver si el archivo enviado debería ser permitido.
Si se adjunta un ejecutable, Facebook advierte que no puede ser enviado. Pero modificando la petición de POST, específicamente con un espacio extra después del nombre del archivo que va a enviarse, un ejecutable podría adjuntarse. Eso supone un peligro porque podría permitir que un hacker enviara, por ejemplo, un programa de keylogging a otro usuario en un tipo de ataque phishing. La víctima entonces necesitaría ser convencida para abrir y ejecutar el archivo.
En un comunicado, el responsable de seguridad de Facebook, Ryan McGeehan, escribió que, para que un ataque tenga éxito, es necesaria una capa adicional de ingeniería social. Además, solo permite al atacante enviar un archivo renombrado a otro usuario de Facebook cada vez.
Facebook no se basa únicamente en la identificación de un archivo por lo que parece su nombre para proteger a los usuarios, sino que también realiza un escaneo de seguridad de los archivos por lo que contamos con una defensa profunda para este tipo de ataques, ha escrito McGeehan. Además, ha explicado que los proveedores de correo electrónico deben enfrentarse al mismo problema con los archivos adjuntos maliciosos, y que este descubrimiento es una parte muy pequeña del modo en que protegemos contra esta amenaza global.
Al final del día, es más práctico para un chico malo esconder un .exe en una página web tras un acortador de URL, que es algo con lo que llevamos tiempo tratando.
Jeremy Kirk, IDG News Service