XMCO : Plusieurs failles de types XSS affectent le réseau social Facebook
décembre 2008 par XMCO PARTNERS
New highly critical Facebook XSS vulnerabilities pose serious privacy risks
– Date : 16 Decembre 2008
– Plateforme : Toutes
– Programme : Facebook
– Gravité : Moyenne
– Exploitation : Avec un lien malicieux
– Dommages :
Vol de session
Vol d’informations
– Description :
Le réseau social Facebook est sujet à quatre failles de sécurité de type "Cross Site Scripting" (XSS). Un attaquant distant est en mesure de les exploiter afin de voler la session d’un utilisateur ou mener des attaques de type Phishing.
Le problème résulte d’un manque de contrôle sur certains paramètres avant de les afficher à l’utilisateur. Les pages affectées sont la page pour les développeurs, la page de création de compte, la page de connexion pour les utilisateurs de l’iPhone, et la page des applications.
Trois de ces quatre vulnérabilités supposent que la victime visite une page malicieuse envoyant une requête HTTP POST sur l’application Facebook, tandis que la dernière peut être exploitée uniquement en suivant un lien judicieusement conçu.
Chacune de ces failles de sécurité est accompagnée d’une preuve de concept, permettant très facilement de mener des attaques de grande ampleur.
Facebook travaille actuellement pour corriger ces différentes vulnérabilités.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Référence :
– Correction :
Facebook corrige actuellement ces problèmes.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1229419463