Cross Site Scripting en jQuery 1.6


Se ha arreglado una vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).





jQuery es una biblioteca o framework JavaScript de software libre y código abierto. Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que de otra manera requerirían muchas líneas de código. Así, permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.

El error se produce cuando se introduce el símbolo '#' en la URL seguido del código que se desee inyectar, puesto que jQuery espera (erróneamente) que la cadena que se va a encontrar a continuación sea código CSS. Debido a esto no realizan las comprobaciones necesarias para limpiar el contenido de la variable 'location.hash'. Al parecer es una costumbre bastante extendida en algunas webs, utilizar el contenido de esta variable para fines diferentes a los originales (para ser insertada en código CSS). Es el caso de evernote.com o skype.com, entre otras. Por esto, se ha optado en la solución por que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de esta variable, y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.

La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery. Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.

Más Información:

Changelog jQuery 1.6.3
http://blog.jquery.com/2011/09/01/jquery-1-6-3-released/

Bug XSS
http://bugs.jquery.com/ticket/9521

Ejemplo de XSS y explicación de cómo filtrar esta variable
http://ma.la/jquery_xss/

Fuente:
Por Javier Rascón
http://www.hispasec.com
Twiter: @jvrrascon



Otras noticias de interés:

Boletines de seguridad de Microsoft en marzo
Este martes pasado Microsoft publico tres boletines de seguridad (del MS11-015 y el MS11-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad crític, m...
Problemas de seguridad en la Red de Cake Poker
Según un informe reciente de PokerTableRatings, ha surgido un problema de seguridad en la Red de Cake Poker. Es parecido a lo que ocurrió recientemente en la Cereus Network, en la que las cartas de mano de algunos jugadores podían ser vistas....
Dos algoritmos avanzan en el reconocimiento facial por parte de los ordenadores
Uno reconoce un rostro a partir de una sola imagen y el otro identifica expresiones en tiempo real...
Desvelando el virus Stuxnet - Cyber-Espionaje
El experimentado analista antivirus Roel Schouwenberg discute las complejidades del misterioso ataque del gusano Stuxnet....
Vulnerabilidades en reproductor Flash de Macromedia
Se han identificado dos nuevas vulnerabilidades en Adobe Macromedia Flash Player, mediante las cuales un atacante podría provocar una denegación de servicio o incluso llegar a tomar el control de los sistemas afectados....
Cambios necesarios en Comunidad Ubuntu Venezuela
Para todos está claro desde hace mucho tiempo que nuestra comunidad ha sufrido una caída paulatina y constante, donde personas digamos: antiguas dentro de la comunidad como de las nuevas se han retirado o apartado por motivos tan dispares como que ...
Boletines de seguridad de Microsoft en diciembre
Este martes Microsoft ha publicado ocho boletines de seguridad (del MS08-070 y MS08-077) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de 27 vulnerabilidades. Según la propia clasificación de Microsoft seis de los b...
Aprobada Reforma a la Ley de Delitos Informáticos de Costa Rica
Con el apoyo de 43 diputados y dos en contra, anoche, fue aprobada en primer debate la reforma a la Ley de Delitos Informáticos, conocida como ley mordaza....
Por motivo del Foro Mundial de Tecnología Libre en Venezuela
La gente de valencia.linux.org.ve dictará una Charla en la Universidad José Antonio Páez. el próximo 5/11/2004 Fecha:5/11/2004. Lugar: ...
OpenKapow: cómo crear robots rastreadores web (spiders) con un clic
Estos primeros días de descanso vacacional los estoy aprovechando para preparar parte de mi trabajo de suficiencia investigadora (que me abrirá las puertas a poder preparar la tesina para el doctorado). El caso es que acabo de descubrir una aplicac...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jquery
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra