SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/los-responsables-de-shopify-se-niegan-a-solucionar-una-vulnerabilidad-rfd/
TAGS: RFD (Reflected File Download), Shopify
Cada vez son más los servicios que te ayudan a crear tu página web o tu tienda en línea de una forma rápida y sencilla. Sin embargo, la seguridad de estas plataformas no siempre es del todo adecuada, sirviendo como ejemplo Shopify, que después de seis meses desde que se detectó una vulnerabilidad desde esta han informado que se niegan a solucionarla.
Los ataques RFD (en inglés Reflected File Download) pueden resultar sumamente peligrosos para los usuarios, ya que los atacantes utilizan sitios web legítimos para provocar que el usuario descargue archivos malware. El usuario en ningún momento sospecha, ya que se encuentra en un sitio web legítimo y se cree que se trata de un archivo que no contiene ningún tipo de amenaza. Sin embargo, su ejecución provoca la instalación de virus y pone en peligro la seguridad de los datos de los usuarios.
Esta es la vulnerabilidad que sufre la plataforma Shopify y por lo tanto todos los sitios web creados haciendo uso de esta. Pero lo sorprendente no es esto, sino que esta fue notificada hace seis meses y los responsables del servicio acaban de confirmar que no van a resolverla.
En función del navegador web utilizado las consecuencias de la vulnerabilidad que afecta al dominio app.Shopify.com cambian. Por ejemplo, en el caso de Internet Explorer 8 y 9 se produce la descarga de un archivo .bat, mientras que en el caso de Google Chrome se realiza la apertura de pestaña en la que se puede leer cierto código.
Por lo tanto, este no solo puede permitir la descarga de archivos con contenido malware, sino que los ciberdelincuentes podrían ejecutar código, otorgándoles la posibilidad de controlar el equipo.
La vulnerabilidad fue descubierta el pasado mes de marzo y desde entonces se ha notificado en varias ocasiones a los responsables del servicio. Sin embargo, no han hecho ningún tipo de caso de las advertencias y ahora el experto en seguridad encargado de descubrirla cree que su publicación en páginas web puede alentar a los responsables de Shopify para que implementen una solución al problema.
Fuente:http://www.redeszone.net/
Noticias de seguridad informática
No comments:
Post a Comment