Telefe (canal argentino de TV) estreno hace muy poco una nueva web, mas allá de lo criticable o no desde el punto de vista diseño y SEO por el tener una portada completamente en Flash, esta el utilizar una version vulnerable de Joomla (un CMS). ¿Acaso la empresa que realizo el desarrollo no hace testing de sus productos? Deben estar muy preocupados en «vender, vender, vender». Estamos en el año 2009, y todavía gran parte de los desarrolladores siguen sin controlar las variables como corresponde y prevenir un simple Cross Site Scripting (XSS). Deberian comenzar a pensar que no todos los usuarios son buenos, basta con solo uno para dañar la imagen de la empresa.

Telefe Noticias XSS

Esto hasta podría pasar por un error tonto y sin importancia para más de uno, pero ¿Qué hay de utilizar una versión vulnerable de Joomla? Cualquiera puede entrar y aprovecharse de este error y explotar el mismo para modificar la contraseña del usuario administrador del sitio.

Telefe Noticias - Joomla Bug

¿Vamos a seguir pensando todavía, que la seguridad y el testeo son meros accesorios?

Internet ExplorerMicrosoft acaba de lanzar una actualización de seguridad que podríamos etiquetar como de emergencia, debido a que fue detectada cuando ya estaba siendo utilizada con fines maliciosos (propagar malware y demás). Se recomienda la instalación de este parche cuanto antes, se use o no Internet Explorer (no seamos cabezas duras :P). Esta actualización de seguridad se considera crítica para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1 e Internet Explorer 7. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Internet Explorer valida el enlace de datos y trata el error que da lugar a la condición vulnerable.
Leer más →

Google ha solucionado el error que permitía realizar redirecciones y que fue utilizado en ataques de phishing y propagacion de malware vía SPAM. Ahora al intentar realizar una redirección no autorizada Google da aviso de la misma al usuario.

Advertencia redireccion en Google

DoubleClick, empresa adquirida en Abril de 2007 por Google, es quien sufre ahora este problema, Sunbelt Software ha reportado que se siguen utilizando este tipo de técnicas pero que debido a que Google ha arreglado el error en su sistema ahora los spammers están haciendo uso de DoubleClick.

Redireccion en Doubclick

Ejemplo:
http://ad.doubleclick.net/click;h=pPkvm;~sscs=%3fhttp://www.sitio-malicioso.com

Como este caso hay muchos, a tener mucho cuidado a la hora de hacer clic 🙂

Via: Google fixes redirects, now it’s DoubleClick’s turn