Cross Site Scripting en jQuery 1.6 - xombra.com



Se ha arreglado una vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).

jQuery es una biblioteca o framework JavaScript de software libre y código abierto. Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que de otra manera requerirían muchas líneas de código. Así, permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.

El error se produce cuando se introduce el símbolo '#' en la URL seguido del código que se desee inyectar, puesto que jQuery espera (erróneamente) que la cadena que se va a encontrar a continuación sea código CSS. Debido a esto no realizan las comprobaciones necesarias para limpiar el contenido de la variable 'location.hash'. Al parecer es una costumbre bastante extendida en algunas webs, utilizar el contenido de esta variable para fines diferentes a los originales (para ser insertada en código CSS). Es el caso de evernote.com o skype.com, entre otras. Por esto, se ha optado en la solución por que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de esta variable, y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.

La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery. Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.

Más Información:

Changelog jQuery 1.6.3
http://blog.jquery.com/2011/09/01/jquery-1-6-3-released/

Bug XSS
http://bugs.jquery.com/ticket/9521

Ejemplo de XSS y explicación de cómo filtrar esta variable
http://ma.la/jquery_xss/

Fuente:
Por Javier Rascón
http://www.hispasec.com
Twiter: @jvrrascon



Otras noticias de interes:

 Diplomática venezolana en plan de ciberataque contra EEUU
Livia Acosta Noguera, actual cónsul de Venezuela en Estados Unidos y en 2007 agregada cultural en la embajada venezolana en México, habría participado en reuniones de agentes cubanos e iraníes con presuntos hackers con miras a la realización de ataques cibernéticos contra blancos de Estados Unidos, reveló la cadena estadounidense Univisión en el documental La amenaza iraní.
 Troyanos y phishing, una amenaza en alza
Los phishers incorporan masivamente el uso de troyanos especializados en la captura de credenciales como complemento a las técnicas habituales de fraude, basadas en la falsificación de páginas web y formularios de entidades bancarias.
 Protección de Windows 2000 Server y/o Internet Information Server
Microsoft publica un conjunto de guías y herramientas para ayudar a los administradores de sistemas en la comprensión e implementación de los mecanismos de seguridad existentes en el sistema operativo Windows 2000 Server.-
 Internet llega a 100 millones de sitios web
La red de redes batió un nuevo record en octubre al alcanzar los 100 millones de sitios web con contenidos y dominio propio. Así lo ha constatado Netcraft, una compañía británica que lleva monitorizando el crecimiento de Internet desde 1995. Estados Unidos, Alemania, China, Corea del Sur y Japón son los países a la cabeza del crecimiento en el número de sites.
 A pesar del Cloud Computing, es necesario instalar Software antimalware
David Perry, con una dilatada experiencia de más de 25 años, está considerado uno de los mejores expertos mundiales en el campo del hacking, virus, malware y cibercrimen. Además, ha sido asesor de la Casa Blanca y es autor y conferenciante muy popular en los Estados Unidos.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • cross

  • site

  • scripting

  • jquery

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql