Vulnerabilidad XSS en Youtube (que al parecer ya está controlada)
YouTube es vulnerable a ataques XSS (Cross-Site Scripting) mediantes los cuales es posible secuestrar “cookies” para obtener acceso a una sesión de usuario de Gmail y las cuentas de YouTube (o de cualquier otro servicio de Google):
Aunque, no está claro quien descubrió la vulnerabilidad, los usuarios 4Chan (ver video) ya están tratando activamente dicha explotación. El exploit utiliza PHP, JavaScript y XSS (código no escapado), y está siendo difundida a través de comentarios en los títulos de los videos.Youtube ha informado que está bloqueando los comentarios utilizados y que ha solucionado la vulnerabilidad (han activado el “modo de seguridad” ocultando globalmente los comentarios de todos los videos) pero otro mensaje fue encontrado diciendo “EXPECT US 07/12/2010” (¿nos espera otro porn-day?)
Cualquier usuario registrado que ha navegado a una página afectada es vulnerable. La mejor solución es cerrar la sesión de YouTube hasta que este problema se haya solucionado definitivamente. Si usted está preocupado de que pudo haber sido afectado, elimine todas las cookies y cambie sus contraseñas.
según Google, la vulnerabilidad ya ha sido solucionada y los comentarios se han vuelto a activar.
Fuente
Comentario:
Pues aunque parece que ya está controlado, conviene saber por donde ha podido haber una “fuga” de información de datos de usuarios de servicios de Google.
saludos
ms, 5-7-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.