4 jul. 2010

Vulnerabilidad XSS en Youtube (solucionado)

YouTube es vulnerable a ataques XSS (Cross-Site Scripting) mediantes los cuales es posible secuestrar "cookies" para obtener acceso a una sesión de usuario de Gmail y las cuentas de YouTube (o de cualquier otro servicio de Google):
Aunque, no está claro quien descubrió la vulnerabilidad, los usuarios 4Chan (ver video) ya están tratando activamente dicha explotación. El exploit utiliza PHP, JavaScript y XSS (código no escapado), y está siendo difundida a través de comentarios en los títulos de los videos.Youtube ha informado que está bloqueando los comentarios utilizados y que ha solucionado la vulnerabilidad (han activado el "modo de seguridad" ocultando globalmente los comentarios de todos los videos) pero otro mensaje fue encontrado diciendo "EXPECT US 07/12/2010" (¿nos espera otro porn-day?)

Cualquier usuario registrado que ha navegado a una página afectada es vulnerable. La mejor solución es cerrar la sesión de YouTube hasta que este problema se haya solucionado definitivamente. Si usted está preocupado de que pudo haber sido afectado, elimine todas las cookies y cambie sus contraseñas.

Actualización 15:50: según Google, la vulnerabilidad ya ha sido solucionada y los comentarios se han vuelto a activar.

Fuentes:
http://techie-buzz.com/online-security/youtube-xss-vulnerability.html
http://www.besttechie.net/2010/07/04/youtube-hacked-xss-attack/
http://thenextweb.com/socialmedia/2010/07/04/youtube-hacked-justin-bieber-videos-targeted/
http://news.slashdot.org/story/10/07/04/1530234/YouTube-Hit-By-HTML-Injection-Vulnerability
http://www.escapistmagazine.com/forums/read/18.207315-4chan-is-at-it-again-Attack-on-Youtube?page=3
http://blog.insecurity.ro/youtube-html-code-injection/
http://isc.sans.edu/diary.html?storyid=9130
http://posterous.richardcunningham.co.uk/youtube-hacked
http://www.meneame.net/story/descubierto-bug-comentarios-youtube-eng
http://techie-buzz.com/online-security/youtube-hack-update.html

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Justamente hablaba un poco ayer sobre ese método del XSS en mi blog cuando ahora me entero que mismo Youtube ha sido víctima de estos malandros.

    http://joseluisavilaherrera.blogspot.com/2010/07/blogger-incluye-estadisticas-en-todos.html

    Y ahora quién podrá ayudarnos?

    Saludos.

    ResponderBorrar
  2. Con razón no podía hacer comentario ni y se me cerraba la sección y cada vez que visitaba youtube debo logearme.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!