Se ha identificado una vulnerabilidad en el plugin Unity Web Player que puede ser explotada de modo que una aplicación Unity maliciosa pueda eludir las políticas de seguridad entre dominios y acceder a cualquier página web con las credenciales del usuario actual, catalogada de importancia 3 . Media
Recursos afectados
- Internet
Explorer
- Firefox
- Google
Chrome, versiones anteriores a la 42.
Los navegadores están afectados tanto en sus versiones para
Windows como para OSX.
Detalle e Impacto de la vulnerabilidad
- La
vulnerabilidad en "Unity Web Player" permite a una aplicación
maliciosa acceder, mediante el uso de una URL especialmente diseñada, a
información de otros dominios o paginas web accesibles con las
credenciales del usuario actual.
Recomendación
- Según
ha informado el investigador que ha reportado la vulnerabilidad, el
fabricante es consciente del fallo y está desarrollando una actualización
para corregirlo, si bien todavía no está disponible.
- Es
por ello que recomienda deshabilitar el complemento "Unity Web
Player" en los navegadores afectados.
Más información
- Unity
Web Player cross-domain policy bypass
http://klikki.fi/adv/unity.html