Cross Site Scripting a través de Atom y RSS en Opera y Chrome - xombra.com



Existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome.

Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un "mime type" del tipo "text/xml", "text/atom-xml" o "text/rss-xml" con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo "mime type" en el servidor es "image/jpeg", puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.

Más Información:

Prueba de concepto:
http://securethoughts.com/2009/09/exploiting-chrome-and-operas-inbuilt-atomrss-reader-with-script-execution-and-more/

Advisory de Chrome:
http://googlechromereleases.blogspot.com/2009/09/stable-channel-update.html

Sitio de Advisories de Opera:
http://www.opera.com/support/kb/advisory/page1/

Fuente:
Por Victor Antonio Torre
http://www.hispasec.com



Otras noticias de interes:

 ONO prohibe a sus clientes ver Infohackers.org
Despúés del asunto del proxy de Telefónica y Terra, los usuarios están comenzado a descubrir la presencia de proxies en sus conexiones a Internet. Ahora le ha tocado el turno a ONO y Retecal. Sin embargo, en el caso del primero la cosa se agrava, ya que esta operadora ha decidido filtrar páginas web decidiendo por sus clientes qué es bueno para ellos o no. Por ejemplo, los clientes de ONO no pueden ver esta página web (se entiende www.infohackers.org), ya que la han prohibido en el filtro de su proxy. Situaciones como ésta nos recuerdan a la de países como Cuba, Arabia Saudí o China, en donde el poder decide qué es lo más adecuado para sus conciudadanos. Lo próximo será la policía del pensamiento de George Orwell.
 Dos tercios de las redes inalámbricas madrileñas desprotegidas ante ataques
Un estudio realizado recientemente por Hewlett-Packard (HP) demuestra la carencia de seguridad en las redes inalámbricas madrileñas en particular y españolas en general. Esta nueva tecnología que en la actualidad está implantándose a marchas forzadas, está todavía lejos de ofrecer una seguridad al menos aceptable. Los estándares para securizar tienen lagunas importantes que los hacen prácticamente inútiles ante ataques. Esto se agrava bastante cuando ni tan siquiera se usan estas medidas.
 Educación y Software Libre
Iris Fernández, licenciada en Educación, profesora de informática y militante del Software Libre (SL) señala que el cambio se puede dar por varios caminos. Por ejemplo, en España la cultura libre es política de Estado y cuando se licita un software educativo, debe tener una licencia libre para que lo use quien lo desee.
 VII JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA ACIS 2007
Las Jornadas Nacionales de Seguridad Informática, como una iniciativa colombiana para desarrollar y promover la investigación académica y científica en el área de seguridad informática, invita a todos aquellos interesados en presentar trabajos de investigación realizados o casos de la industria sobre el tema, con el fin de compartir la experiencia, implementación y hallazgos en los temas propuestos para este evento expuestos a continuación (no pretende ser una lista exhaustiva):
 El Sitio WEB del Partido PPT ha sido victima de un Hacker
El sitio web del partido PPT (Patria Para Todos) "partido simpatizante) del Movimiento Chavista (Oficialista) de Venezuela fue victima de un desface, en su página principal se puede leer algunos comentarios de el individuo que realizo el desface.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • cross

  • site

  • scripting

  • través

  • atom

  • rss

  • opera

  • chrome

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql