Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Hallan vulnerabilidad XSS en Google y otros importantes sitios
Un investigador del Vulnerability Laboratory encontró un cross-site scripting (XSS) no sólo en la página web de Google Apps, alojada en el dominio google.com, sino también en otros importantes sitios web como la revista Forbes, Myspace, MTV y Ferrari.
Ucha Gobejishvili, también conocido como longrifle0x, encontró la falla en Google Apps y lo reportó a Google.
A pesar de que el nivel de riesgo se considera bajo, si no se resuelve, el hueco de seguridad presente en uno de los módulos de búsqueda podría permitir a un atacante remoto secuestrar las cookies, e incluso robar cuentas.
Por otro lado, el atacante tendría que llevar a cabo ingeniería social a la víctima, y realizar ciertas tareas para que el secuestro de sesión tenga éxito.
La vulnerabilidad había sido reportada el 21 de enero y el proveedor respondió el 23 de enero, pero al momento de publicar esta noticia el bug permanecía vigente en la página de Google.
Esta no es la única vulnerabilidad encontrada por longrifle0x en los últimos días. La página de búsqueda de Forbes, la tienda en línea oficial de Ferrari, MTV y la red social MySpace, también contienen el mismo tipo de vulnerabilidad. Por desgracia, ninguno de ellos se encuentra arreglando estos inconvenientes, y los informes de XSSED revelan que los dominios ya fueron victimas de XSS.
Créditos: Softpedia
El año pasado, el mismo experto en seguridad encontró XSS en Opera, Sony Ericsson y el sitio oficial del proveedor de ropa deportiva Puma.
Las vulnerabilidades XSS son muy comunes en sitios web comerciales. Hace unos días, hackers del equipo TeamHav0k encontraron errores en otros sitios web de alto perfil, tales como los pertenecientes a: Rochester Institute of Technology, Arizona State University, NYU Poly's for Advanced Technology in Telecommunications, Michigan State University y Aurora University.
Junto a los sitios de universidades, los hackers también encontraron las mismas fallas de seguridad en los principales sitios del gobierno de Estados Unidos.
Un día antes de revelar esto, TeamHav0k encontró fallas de Cross-Site Scripting en sitios que pertenecen a Verizon, Huffington Post, la Organización Europea de Investigación Nuclear (CERN), Electronic Arts (EA), IGN y el New York Times.
