Problema de seguridad en el Optimizador de sitios web

Estimado usuario del Optimizador de sitios web:

Le escribimos para informarle de un posible problema de seguridad con el Optimizador de sitios web. Si se aprovecha una vulnerabilidad en la secuencia de comandos de control del Optimizador de sitios web, un atacante podría ejecutar código malicioso en su sitio mediante un ataque de secuencias de comandos entre sitios (XSS). Este ataque solo se puede llevar a cabo si un sitio web o un navegador ya está en peligro debido a otro ataque. Aunque la probabilidad inmediata de este ataque es baja, le recomendamos que adopte medidas para proteger su sitio.

Hemos corregido el error y todos los experimentos nuevos no están expuestos a la vulnerabilidad. No obstante, se deben actualizar los experimentos que está ejecutando actualmente para corregir el error en su sitio. Además, si tiene alguna secuencia de comandos del Optimizador de sitios web de experimentos en pausa o detenidos que se han creado antes del 3 de diciembre de 2010, también deberá suprimir o actualizar el código.

Hay dos formas de actualizar el código. Puede detener los experimentos actuales, suprimir las secuencias de comandos anteriores y crear un experimento nuevo, o bien puede actualizar el código en el sitio directamente. Le recomendamos que cree un experimento nuevo, ya que es el método más simple.

Creación de un experimento nuevo

  1. Detenga los experimentos del Optimizador de sitios web que se estén ejecutando actualmente.
  2. Suprima todas las secuencias de comandos del Optimizador de sitios web del sitio.
  3. Cree un experimento nuevo de la forma habitual. Los experimentos nuevos no son vulnerables.

Actualización directa de la secuencia de comandos de control del Optimizador de sitios web

  1. Busque la secuencia de comandos de control en su sitio. Tiene el siguiente aspecto:

Secuencia de comandos de control de prueba A/B
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->

Secuencia de comandos de control de prueba multivariable
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

  1. Busque lo siguiente en la secuencia de comandos de control: return c.substring(...
  2. Modifique la siguiente línea tal como se muestra a continuación:
    ANTES: return c.substring(i+n.length+1,j<0?c.length:j)
    CORREGIDO: return escape(c.substring(i+n.length+1,j<0?c.length:j))
    Asegúrese de incluir el paréntesis de cierre final “)”

Secuencia de comandos de control A/B corregida
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->

Secuencia de comandos de control multivariable corregida
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

Observe que la línea k=XXXXXXXXX de los ejemplos de secuencia de comandos de control anteriores es un marcador de posición.

El experimento seguirá funcionando normalmente después de haber realizado esta actualización. No es necesario detenerlo o reiniciarlo.

Tenemos el compromiso de mantener la seguridad del Optimizador de sitios web y lamentamos mucho este problema. Seguiremos trabajando intensamente para prevenir futuras vulnerabilidades.
Atentamente,
Trevor
Equipo del Optimizador de sitios web de Google

Preferencias de correo electrónico: le hemos enviado este aviso de servicio obligatorio por correo electrónico para informarle de cambios importantes en su cuenta o producto de Optimizador de sitios web de Google.

Copyright 2010. Google es una marca comercial de Google Inc. El resto de los nombres de empresas y de productos pueden ser marcas comerciales de las empresas respectivas a las que están asociados.

Es el correo que me acaba de llegar

fecha 7 de diciembre de 2010 15:18
asunto Problema de seguridad en el Optimizador de sitios web
enviado por scoutcamp.bounces.google.com
firmado por google.com

La verdad no se si es un correo autentico.


Compartir esta publicacion

Escribe un comentario a esta publicación