SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/persisten-en-ebay-fallos-de-seguridad-notificados-hace-un-ano/
TAGS: Ebay, XSS
Los fallos de seguridad existentes en este servicio no son nada nuevo para los usuarios y han sido muchos los que han reportado vulnerabilidades, algunas incluso hasta críticas para la privacidad de los usuarios del servicio. Sin embargo, después de un año desde que fueron notificados, algunos errores existentes en eBay aún no se han corregido.
El error que nos ocupa se encuentra ubicado en la aplicación que permite intercambiar mensajes entre los compradores. Se trata de un XSS que podría permitir a los atacantes realizar el robo de las credenciales de los usuarios mediante la apertura de ventanas emergentes que por ejemplo solicitasen de nuevo el inicio de sesión ante la caducidad de este o la verificación periódica de esta, algo que puede suceder y que más de un servicio realiza, por lo tanto la sospecha de los usuarios se reduce notablemente.
Para ser más exactos, el problema está localizado en la función que permite subir imágenes, permitiendo la subida de código Javascript y su posterior ejecución. El fallo de seguridad se reportó hace más de un año y sin embargo los responsables del servicio aún no han puesto fin a este.
eBay no confirma nada respecto a este y los expertos de seguridad los justifican con otros problemas mayores
Encontrar una solución a este problema no parece complicado o al menos a simple vista. Sin embargo, el problema puede ampliarse si se pone una solución, ya que otras funciones del servicio podrían verse afectadas de forma negativa.
Kääp, investigador encargado de reportar el problema, ha indicado que los responsables del servicio se han puesto en contacto y con él, confirmando que no existe una fecha señalada para poner fin al problema y que tampoco se hará pública.
Fuente:http://www.redeszone.net/
Persisten en eBay fallos de seguridad notificados hace un año
Noticias de seguridad informática
No comments:
Post a Comment