Cuando aun tenemos recientes las últimas vulnerabilidades y fallos de diseño que exponían a todos los internautas a nuevas amenazas, recibimos de manos de expertos reconocidos en materia de seguridad informática la noticia del descubrimiento de una nueva vulnerabilidad. Esta parece afectar a casi todos los navegadores, exceptuando aquellos que, como Lynx y similares, funcionan en modo texto.
Pero, ¿en que consiste esta nueva vulnerabilidad conocida como Clickjacking?. En pocas palabras, se trataría de la posibilidad de un atacante de controlar los enlaces que nuestro navegador visita cuando accedemos a un sitio web malicioso. La novedad en esta ocasión es que no es necesaria la ejecución de código javascript por lo que deshabilitando esta función en nuestro navegador no nos ayudará a ser menos vulnerables.
Con la ejecución de este exploit, se puede hacer que su navegador pulse sobre cualquier enlace, botón, imagen u objeto de la web preparada por el atacante, de forma totalmente transparente para el usuario.
Es de esperar que aparezcan nuevos ataques que aprovechen esta vulnerabilidad, bien preparando páginas maliciosas con algún gancho para atraer posibles víctimas, o bien explotando esta vulnerabilidad en páginas legítimas que no estén debidamente protegidas ante los ataques de inyección de código.
Ante esta nueva amenaza, los usuarios deben andar con mucha cautela a la hora de navegar, sospechar de ejecuciones automatizadas por parte de su navegador y mantener actualizado su sistema antivirus para evitar que un código malicioso que se ejecute automáticamente desde la web consiga afectar su sistema.
Actualización 7/10: Nuestros compañeros de ESET Latinoamerica han preparado una entrada en su blog donde explican como configurar los navegadores mas comunes para protegernos de esta nueva técnica de ataque.
Josep Albors