18 de septiembre de 2009

Cross Site Scripting a través de Atom y RSS en Opera y Chrome

Se ha descubierto un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome.

  • Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un "mime type" del tipo "text/xml", "text/atom-xml" o "text/rss-xml" con JavaScript incrustado.
  • Estos navegadores lo procesarían sin motivo.
  • Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.
  • En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.
Fuente: Hispasec