Chrome, Firefox y Safari, vulnerables a ataques mediante cookies

0

google-cookiesLas cookies del navegador pueden utilizarse para sobrepasar las conexiones de tipo HTTPS y así facilitar los ataques man in the middle (Hombre en el medio) según indica un aviso de seguridad del CERT

Los navegadores modernos, incluyendo entre ellos a Safari de Apple, Mozilla Firefox o Google Chrome, aparentemente poseen una vulnerabilidad que permite inyectar en ellos ataques mediante algo tan básico como son las cookies. Aunque las cookies suelen llevar una “marca de seguridad” o secuer flag que limita su uso a las conexiones protegidas, si utilizamos un navegador algo anticuado no contaremos con esa seguridad.

Según informa el CERT:

Atacantes que actúan normalmente ocupando esta figura de “hombre en el medio”, incluso en una sesión HTTPS temporal, podrían inyectar cookies que serían acopladas a las conexiones HTTPS resultantes.

Ataques mediante cookies en navegadores

Esto significa que los atacantes que emplean el MiTM podrían crear una cookie HTTPS que enmascare a otro sitio web diferente. Un atacante podría crear cookies para “ejemplo.com” para sobreescribir la cookie real para “www.ejemplo.com”.

Las cookies falsas asignadas de esta forma, podrían facilitar la revelación de datos privados que estemos transmitiendo durante la sesión.

Se han encontrado problemas de seguridad en cookies de sitios web tan importantes como Google, que pueden llegar a ser una gran amenaza si utilizamos navegadores algo anticuados que permitan explotar estos ataques mediante cookies en navegadores.

Recomendaciones

Los dueños de los sitios web deberían habilitar la opción HSTSHTTP Strict Transport Security– con la opción de incluir subdominios. Es una forma de mitigar el problema e impedir que el atacante pueda asignar cookies de primer nivel que sustituyan a las cookies de subdominio.

Chrome, Firefox y Safari, vulnerables a ataques mediante cookies

 

Como podéis ver, para estar seguros de que vuestro navegador está protegido, tendréis que haberlo actualizado durante este mes de Septiembre.

Valora esta noticia:

  • User Ratings (1 Votes)
    8.5
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR