Vulnerabilidad en PayPal, desacredita certificados EV

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Vulnerabilidad en PayPal, desacredita certificados EV

Compartir

Según reporta Netcraft, compañía que brinda servicios de seguridad en Internet, un investigador finlandés descubrió una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en PayPal.com, que permite a un atacante agregar su propio contenido al sitio, y de ese modo robar las credenciales de los usuarios que accedan a él.

PayPal.com, el popular sitio de pagos vía Internet, es una de las primeras compañías que adoptó certificados EV (Extended Validation o Validación Extendida). Internet Explorer, desde su versión 7, Firefox y Opera, incluyen soporte para los mismos. Cuando los sitios EV presentan el certificado, la barra de direcciones del navegador se muestra en verde.

Harry Sintonen, quien descubrió la vulnerabilidad, afirma que la cuestión es muy crítica, porque "fácilmente se pueden robar las credenciales de los usuarios," a pesar de que la dirección visitada comienza con HTTPS: (que indica un protocolo seguro).

Durante años hemos estado alertando que al visitar un sitio de transacciones comerciales, se prestara atención a ese detalle. El mismo PayPal insiste con ello en su página, para evitar que los usuarios sean estafados por sitios falsos. Sin embargo, en este caso, el sitio es el original, la dirección es segura, se muestra como segura, y así debería serlo.

La vulnerabilidad es más grave que otras similares, por el hecho de que las páginas afectadas utilizan una extensión de la validación SSL, y además, gracias a los certificados EV, la barra de direcciones permanece verde, lo que indica que el sitio y su contenido es seguro, y pertenece a PayPal, lo que hace que los visitantes no sospechen nada

El problema es que mediante la vulnerabilidad descubierta, aún estando en la página original, alguien podría robar toda nuestra información cuando hacemos alguna transacción.

Si bien los certificados SSL proporcionan un gran nivel de fiabilidad cuando se trata de confirmar la propiedad del sitio, no pueden garantizar que un sitio esté libre de otros problemas de seguridad, incluyendo un Cross-Site-Scripting como en este caso. Este tipo de fallo, permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Existe la preocupación de que los atacantes pueden aprovechar este malentendido en la importancia de la barra de direcciones de color verde para su propio beneficio, desacreditando la confianza inculcada por los certificados de Validación Extendida, tecnología anti- phishing fuertemente defendida por PayPal, tanto como para desaconsejar el uso de navegadores que no la soportan.

La vulnerabilidad viene a la luz, apenas un mes después que PayPal publicara en su blog, un enfoque práctico para la gestión del "phishing", que ensalza como medida de prevención, el uso de estos certificados. Allí, PayPal describe a los navegadores que no soportan certificados EV como "inseguros", anunciando además que bloqueará el acceso al sitio a los mismos.

Los usuarios deben ser conscientes de que ahora, una barra de direcciones de color verde, o un protocolo HTTPS, no garantiza el origen del contenido de una página si existe una vulnerabilidad como la ahora reportada.

Al momento de publicarse esta noticia, no hay comentarios de PayPal sobre este tema.

Fuente: Vsantivirus
Compartir
  #1  
Creado: 19-May-2008, a las 10:52 Vistas: 698
Categoria: Noticias de Seguridad Informatica
Creado por: Nafer Nafer está desconectado (05-October-2007 | 3.524 Mensajes.)
Respuesta

Etiquetas
certificados, desacredita, paypal, vulnerabilidad


Temas Similares
» Blizzard da un aviso a los vendedores de oro virtual vía PayPal 0
» Kingston HyperX 2133MHz XMP certificados para Intel P67 Sandy Bridge 0
» Dwolla, la alternativa a PayPal 0
» Microsoft quiere su paypal... o su Visa? 0
» Actualización de Certificados Raíz en Windows 98 y ME 0
» Google no competirá con PayPal 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 13:10.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4