LinkedIn parchea múltiples vulnerabilidades de Cross-Site Scripting

Publicado el 30 septiembre 2013 ¬ 16:17 pmh.mscComentarios desactivados en LinkedIn parchea múltiples vulnerabilidades de Cross-Site Scripting

La red social de servicio a profesionistas, LinkedIn, fue susceptible a 4 vulnerabilidades de cross site scripting (XSS), antes de esto tuvo que parchar otros 4 fallos este verano.

Las vulnerabilidades XSS son uno de los fallos más persistentes en la red. En este caso un atacante puede explotar potencialmente a los usuarios de LinkedIn inyectando HTML o un script de código dentro del navegador para robar las cookies, de acuerdo con la publicación en la lista de correos de Full Disclosure.

Después de explotar exitosamente el fallo, un atacante puede enviar correos con phishing a usuarios desprevenidos para ir a un sitio clon e infectar la computadora de la víctima con malware, o robar sus credenciales de acceso

La primer vulnerabilidad es explotable al escribir HTML maliciosamente en el campo “Compartir y actualizar” del sitio de LinkedIn. El segundo y tercer fallo de XSS puede ejecutarse de forma similar al visitar “Grupos que tal vez te interesen” en la sección de “Grupos” de la página. Una vez ahí, un atacante necesitaría encontrar un grupo abierto y comenzar una discusión insertando código especialmente diseñado para esa página antes de compartir la discusión. La vulnerabilidad final existe en la página de “grupo” como tal. Sin embargo, es explotable al crear un grupo y una encuesta dentro del grupo e insertar código malicioso dentro del campo de creación de encuestas.

Eduardo Garcia Melia de ISec descubrió el fallo en diciembre de 2012. De acuerdo con Full Disclosure, LinkedIn resolvió el problema en julio de 2013 y Melia envió el reporte de la vulnerabilidad a Full Disclosure el día de ayer.

Threatpost se acercó a LinkedIn para confirmar que el equipo de seguridad de la compañía resolvió las vulnerabilidades, pero no estaban disponibles para comentar sobre el asunto.

LinkedIn se anuncia a sí mismo como la red de profesionistas más grande, con más de 238 millones de usuarios en el mundo.

La red de profesionistas llamó la atención al apelar ante el Tribunal de Vigilancia Extranjera (FISA, por su siglas en inglés), la corte secreta encargada de regular la mayor parte de los esfuerzos de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), para solicitar que se le permita la publicación de datos del número de cartas de seguridad nacional que recibe.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Redes sociales, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies