En el momento que las suites de oficina Office incorporaron la posibilidad de incluir código Visual Basic como parte del documento creando las famosas 'macros', los documentos .doc .xls y compañía dejaron de ser ficheros 'sin peligro' y pasaron a ser ficheros sobre los que tener cien ojos encima como si se tratara de ficheros .exeCon el advenimiento de las aplicaciones ofimáticas web como la archifamosa GoogleDocs era evidente que la técnica mutaría en sus formas pero no en su concepto.
¿En que han cambiado las cosas? Simplemente donde antes eran funciones escritas en Visual Basic, ahora el peligro está en los documentos que contengan código en JavaScript.
Alfredo Melloni ha descubierto que formateando debidamente funciones JavaScript en un documento GoogleDoc, se puede llegar a ejecutar código JavaScript en el navegador de la persona que esté visionando el documento.
El ataque no es nada nuevo, un XSS puro y duro, del tipo a los que hemos comentado antes por aquí, cuyo riesgo más evidente es que se puede robar la sesión de la víctima, y a la postre siendo una sesión en Google, la perdida de tu cuenta de correo electrónico en Gmail. ¿Inquietante, verdad?
A partir de ahora, cuando nos lleguen las típicas invitaciones para visitar un documento en GoogleDoc, habrá que tener las mismas precauciones que cuando interactuamos con un fichero .doc
0 comments :
Publicar un comentario