Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
LinkedIn soluciona vulnerabilidad XSS persistente
Desarrolladores en Linkedin solucionaron una vulnerabilidad persistente de Cross Site Scripting en la red social que pudo haber sido explotada para distribuir un gusano en los foros de ayuda.
Fue una respuesta muy rápida por parte de la compañía, de acuerdo con el investigador, quien dijo que Linkedin solucionó el problema tan solo tres horas después de ser reportado.
De acuerdo a Rohit Dua, un investigador de seguridad de la India, el problema existía en un portal del centro de ayuda de LinkedIn. Para explotarlo, el usuario tendría que iniciar sesión en LinkedIn, ir al foro de ayuda y comenzar una discusión. Introduciendo unas cuantas líneas de código, Dua asegura que el atacante pudo haber ejecutado un script.
"Una vez que la pregunta era publicada, junto con el script de ejecución, podía ser inmediatamente vista en el foro de Ayuda del Sitio -> Tus Discusiones, en la lista de preguntas públicas, o la página de preguntas de tu etiqueta", escribió Dua en su prueba de concepto.
Si un atacante encontraba un modo de explotar la vulnerabilidad, podría haber distribuido fácilmente un gusano, afirma Dua.
Dua alertó a la compañía del error y LinkedIn implementó una solución. Cuando se contactó a una persona de LinkedIn se corroboró la vulnerabilidad, su correspondiente solución y se aseguró a los usuarios que su información nunca estuvo en riesgo de ser comprometida.
"El problema se presentó en nuestro portal del centro de ayuda, no en el sitio principal, y la información de los miembros nunca estuvo en riesgo. Fue estupendo trabajar con el investigador ya que nos ayudó a arreglar el problema de una manera pronta. No hubo explotación o abuso de esta en nuestro centro de ayuda. Nos gustaría agradecer al investigador por su excelente informe y su ayuda al proteger a nuestros miembros", dijo LinkedIn.
LinkedIn anunció el verano pasado que empezaría su propio programa de recompensas por errores en octubre del 2014. Mientras que esta iniciativa es aún privada, Linkedin ha invitado a Dua a unirse al programa.
A continuación un video donde se explota la vulnerabilidad:
