Autor
Este es como el tema de la semana en webappsec.
WW-XSS significa "World Wide XSS", y eso es que un XSS estaría afectando muchísimos sitoos web en internet, entre ellos esta este foro.
pdp recientemente "reveló" la existencia y posibilidades de explotación del URI "JAR:".. aqui:
http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues
Poco despues beford descubrió que tiene una pequeña vulnerabilidad que permite robar el SOP en sitios que usan redirecciones:
http://blog.beford.org/?p=8
En este caso en google.. dado que una redirección NO ES una vulnerabilidad, sino una feature "peligrosa", en este caso todos los usuarios de firefox que usen servicios de google son vulnerables a XSS, aunque google no tenga ninguna vulnerabilidad.
PDP explica este tema mas aqui:
http://www.gnucitizen.org/blog/severe-xss-in-google-and-others-due-to-the-jar-protocol-issues
Esto es bastante peligroso para los usuarios de firefox.. es dificil recomendarles algo.. ya que es un XSS persistente, que no puede detectar NoScript, asi que hasta que mozilla saque algún parche, o algo, no usen firefox..
Saludos!!
--actualizacion
giorgio maone, acaba de agregar un parche para NoScript en la version 1.1.8
http://noscript.net/?ver=1.1.8
Que detiene los ataques basados en redirecciones para violar la SOP
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
En línea
