Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
LinkedIn parcha múltiples vulnerabilidades de Cross-Site Scripting
La red social de servicio a profesionistas, LinkedIn, fue susceptible a 4 vulnerabilidades de cross site scripting (XSS), antes de esto tuvo que parchar otros 4 fallos este verano.
Las vulnerabilidades XSS son uno de los fallos más persistentes en la red. En este caso un atacante puede explotar potencialmente a los usuarios de LinkedIn inyectando HTML o un script de código dentro del navegador para robar las cookies, de acuerdo con la publicación en la lista de correos de Full Disclosure.
Después de explotar exitosamente el fallo, un atacante puede enviar correos con phishing a usuarios desprevenidos para ir a un sitio clon e infectar la computadora de la víctima con malware, o robar sus credenciales de acceso.
La primer vulnerabilidad es explotable al escribir HTML maliciosamente en el campo “Compartir y actualizar” del sitio de LinkedIn. El segundo y tercer fallo de XSS puede ejecutarse de forma similar al visitar “Grupos que tal vez te interesen” en la sección de “Grupos” de la página. Una vez ahí, un atacante necesitaría encontrar un grupo abierto y comenzar una discusión insertando código especialmente diseñado para esa página antes de compartir la discusión. La vulnerabilidad final existe en la página de “grupo” como tal. Sin embargo, es explotable al crear un grupo y una encuesta dentro del grupo e insertar código malicioso dentro del campo de creación de encuestas.
Eduardo Garcia Melia de ISec descubrió el fallo en diciembre de 2012. De acuerdo con Full Disclosure, LinkedIn resolvió el problema en julio de 2013 y Melia envió el reporte de la vulnerabilidad a Full Disclosure el día de ayer.
Threatpost se acercó a LinkedIn para confirmar que el equipo de seguridad de la compañía resolvió las vulnerabilidades, pero no estaban disponibles para comentar sobre el asunto.
LinkedIn se anuncia a sí mismo como la red de profesionistas más grande, con más de 238 millones de usuarios en el mundo.
La red de profesionistas llamó la atención al apelar ante el Tribunal de Vigilancia Extranjera (FISA, por su siglas en inglés), la corte secreta encargada de regular la mayor parte de los esfuerzos de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), para solicitar que se le permita la publicación de datos del número de cartas de seguridad nacional que recibe.
