Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad XSS en sitio de Apple
Un hacker white hat o de sombrero blanco español de 16 años, identificado como "The Pr0ph3t", encontró una vulnerabilidad XSS (Cross Site Scripting) en un sitio web de Apple. La vulnerabilidad fue reportada para el subdominio https://locate.apple.com, en donde los usuarios pueden encontrar la ubicación de un centro de servicio.
Los ataques Cross Site Scripting son un tipo de problema de inyección en el que los scripts (programas generalmente pequeños e interpretados) maliciosos son inyectados los sitios que son benignos y confiables. El script malicioso puede tener acceso a las cookies, los tokens de sesión (identificador único generado en el servidor y enviado al cliente para identificar las interacciones entre ambos durante la sesión actual) u otra información sensible contenida en el navegador. Esta vulnerabilidad puede ser usada por los atacantes para eludir controles de acceso, tales como la política del mismo origen.
Después de capturar las cabeceras HTTP, el hacker encontró que existe un parámetro llamado "location", que no cuenta con filtro para entradas maliciosas. Como Prueba de Concepto (Poc), el hacker inyectó un código JavaScript, como se muestra en la imagen.
La existencia de la vulnerabilidad fue verificada por el equipo de The Hacker News y aún es vulnerable.
