Avatar
Por favor considere registrandote
invitado
sp_LogInOut Ingresa sp_Registration Regístrate sp_MemberList Miembros
Regístrate | Olvidó su contraseña?
Búsqueda Avanzada
Alcance del Foro


Match



Opciones del Foro



La longitud mínima de la palabra de búsqueda es 3 caracteres - longitud máxima búsqueda de la palabra es 84 caracteres
sp_Feed RSS del Tema sp_TopicIcon
Vulnerabilidad en Kindle permite obtener detalles de la cuenta de usuario
Avatar
Member
Members
23 septiembre 2014 - 00:45
Miembro desde: 29 mayo 2013
Mensajes en Foro: 6
sp_UserOfflineSmall Desconectado

Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.

El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).

El atacante podrá crear un libro con un título como ">
Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.

Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.

Opina sobre esta noticia:
[Permission to view this media is denied]

Más información:

Amazon.com Stored XSS via Book Metadata
[Permission to view this media is denied]

Antonio Ropero
[email]antonior@hispasec.com[/email]
Twitter: @aropero

Avatar
Miembro
Members
23 septiembre 2014 - 05:50
Miembro desde: 20 agosto 2012
Mensajes en Foro: 1111
sp_UserOfflineSmall Desconectado

en ** you do not have permission to see this link ** ya se habló de ello y de que ya se ha solucionado... por segunda vez ?

Zona Horaria del Foro: UTC 2
Mayor número de usuarios conectados simultáneamente: 16
Conectados ahora mismo:
Invitado(s) 1
Viendo esta página:
1 Invitado(s)
Los Mejores Foreros:
PhotoniKO: 13555
Me!: 10154
swappen: 5998
Chandrian: 5932
mlila: 4704
P-ludus: 3945
germanor: 2459
Artemisa: 2068
Estadísticas de usuarios:
Foreros Invitados: 7
Miembros: 29253
Moderadores: 1
Administradores: 1
Estadísticas del Foro:
Grupos:7
Foros:44
Temas:12375
Mensajes:169345
Moderadores: miguelgaton: 0
Administradores: Admin: 6