lunes, 5 de julio de 2010

Vulnerabilidad XSS en Youtube (solucionado)


YouTube es vulnerable a ataques XSS (Cross-Site Scripting) mediantes los cuales es posible secuestrar "cookies" para obtener acceso a una sesión de usuario de Gmail y las cuentas de YouTube (o de cualquier otro servicio de Google):
Aunque, no está claro quien descubrió la vulnerabilidad, los usuarios 4Chan (ver video) ya están tratando activamente dicha explotación. El exploit utiliza PHP, JavaScript y XSS (código no escapado), y está siendo difundida a través de comentarios en los títulos de los videos.Youtube ha informado que está bloqueando los comentarios utilizados y que ha solucionado la vulnerabilidad (han activado el "modo de seguridad" ocultando globalmente los comentarios de todos los videos) pero otro mensaje fue encontrado diciendo "EXPECT US 07/12/2010" (¿nos espera otro porn-day?)

Cualquier usuario registrado que ha navegado a una página afectada es vulnerable. La mejor solución es cerrar la sesión de YouTube hasta que este problema se haya solucionado definitivamente. Si usted está preocupado de que pudo haber sido afectado, elimine todas las cookies y cambie sus contraseñas.

Actualización 15:50: según Google, la vulnerabilidad ya ha sido solucionada y los comentarios se han vuelto a activar

Fuente: Vulnerabilidad XSS en Youtube (solucionado)

No hay comentarios: