Los despropósitos en lo referido a temas de seguridad continúan en la red social de Mark Zuckerberg. En este caso, los usuarios se podrían ver afectados por un problema de seguridad a la hora de utilizar Facebook Chat o la aplicación Messenger de la red social para sistemas operativos Windows. Los fallos permitían a terceras personas introducir código malicioso y conseguir ejecutarlo sin que el usuario fuese consciente.
Los responsables de Break Security fueron los encargados en ponerse en contacto con los responsables de la red social y avisar a estos de los fallos de seguridad detectados y que permitían la utilización de ataques XSS para robar información del usuarios. En el caso de Facebook Messenger para Windows el usuario podría ser comprometido creando una página en la red social que tuviera código javascript malicioso y que formase parte del nombre de esta. Como desde las páginas de la red social se pueden enviar mensajes a los usuarios, estos contendrían un código malicioso que sería ejecutado todas las veces que fuese posible hasta que el usuario llevase a cabo la desconexión del Messenger de la red social.
http://www.redeszone.net/wp-content/uploads/2013/04/facebook-ataque-xss-nombre-paginas-655x237.png
Según se ha podido saber, este problema ya ha sido resuelto.
El problema de Facebook Chat se encuentra en la ventana
Parece ser que este problema aún no ha sido resuelto por la red social, o por lo menos aún no se ha notificado a Break Secutiry sobre su resolución. La red social dispone de un sistema de control de enlaces para proteger al usuario de contenido malicioso. Sin embargo, las ventanas del chat permiten que terceras personas se salten este control y utilizando código javascript sean capaces de introducir información adicional en la conversación. Cuando los usuarios hacen click sobre el enlace que a priori parece legítimo, se lleva a cabo la ejecución de código malicioso en el equipo o bien la descarga e instalación de cualquier tipo de malware.
Fuente | The H Security
http://www.redeszone.net/2013/04/23/facebook-chat-permite-el-robo-de-informacion-del-usuario/