Nueva vulnerabilidad cross-site scripting (XSS) en Facebook

De momento está sin parchear una vulnerabilidad XSS en la API de la versión de Facebook en móviles. Está siendo explotada para enviar mensajes en los muros de los usuarios, que sirven como puerta de entrada a sitios web especialmente diseñados para explotar este fallo.

La falla ha estado hace tiempo, pero sólo recientemente se ha utilizado ampliamente. Los usuarios de Indonesia son actualmente el blanco de diversos grupos que utilizan esta vulnerabilidad.

“Cualquier sitio web que contenga, por ejemplo, un iframe maliciosamente preparado que contenga JavaScript o el uso del atributo http-equiv de “refresh”; para redirigir el navegador a una URL preparada que contenga JavaScript“, explica Symantec.

Cualquier usuario que se conecte a Facebook y visite un sitio que contiene este iframe malicioso o el atributo, automáticamente dejará un mensaje arbitrario en el muro del usuario que está conectado a esta red social.

No es necesaria la intervención del usuario, por lo que los mensajes se difunden a través de Facebook a un ritmo acelerado. El equipo de seguridad de Facebook ha sido notificado sobre la vulnerabilidad y están trabajando en una solución. Es de esperar que se publique pronto, ya que el ataque parece fácil de recrear.

Symantec recomienda a los usuarios salir de Facebook cuando no están utilizando activamente o usar un complemento que bloquee Javascript para prevenir el ataque como lo hacen estos complementos para Chrome y para Firefox.

Fuente: Symantec

Share

This entry was posted in bugs, redes sociales. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.