• Tweet

El popular sitio Web de noticias sociales Reddit ha parado la propagación de un gusano que golpeó al sitio por XSS (cross-site scripting) el lunes pasado.

El gusano se propagó via XSS mediante los comentarios del sitio, originalmente de la cuenta de un usuario llamado xssfinder.

Reddit falló en el filtrado por javascript en algunas ocasiones, especificamente cuando un usuario colocaba el mouse sobre un link, un hecho detrás de los infractores xssfinder"s cuenta que fue explotado al correr una prueba de concepto para este ataque.

En una aparente prueba de ataque, xssfinder puso un comentario enlazado a scripts maliciosos sobre uno llamado "chico sobre bicicleta en Nueva York recibe saludos de la gente".

Los usuarios que leyeron el comentario terminaron por enviar las cantidades masivas de comentarios spam en otras partes de Reddit.

Los administradores de Reddit se movieron rapidamente para cerrar la vulnerabilidad y restaurar el orden antes de que las cosas se les salieran de las manos

La cuenta de xssfinder fue borrada después de que el ataque comenzó, reporta finalmente la empresa de seguridad Web F-secure.

Por John Leyden