Cross-Site Scripting (XSS) em subdomínio da Apple
Um hacker espanhol de 16 anos, conhecido como “The Pr0ph3t”, integrante do Underc0de.org, fórum dedicado à segurança cibernética, encontrou uma vulnerabilidade XSS no subdomínio https://locate.apple.com, da Apple.
Cross Site Scripting ou XSS
Ataques Cross-Site Scripting são um tipo de problema de injeção, em que scripts maliciosos são injetados em sites confiáveis. Esta vulnerabilidade pode ser utilizada por atacantes para contornar os controles de acesso. O script malicioso pode acessar os cookies, tokens de sessão ou outras informações confidenciais retidas pelo seu navegador.
A vulnerabilidade foi verificada pela equipe do portal The Hacker News. “The Pr0ph3t” relatou a descoberta no subdomínio da Apple, mas a vulnerabilidade ainda existe.
“Para a segurança dos nossos clientes, não divulgamos, discutimos ou confirmamos problemas de segurança até que uma investigação tenha sido feita e todos os patches ou versões necessárias estejam disponíveis”, previne a Apple.
A empresa ainda não divulgou nota sobre o assunto.
Links úteis
- Se você deseja reportar falhas de segurança à Apple, envie um e-mail para product-security@apple.com
- Faça parte de uma das listas de discussão informal da Apple, criadas para incentivar a comunicação entre usuários e desenvolvedores: http://lists.apple.com/
- Acesse o site em que a Apple dá crédito aos pesquisadores que descobrem e relatam vulnerabilidades: http://support.apple.com/kb/HT1318
- Confira as atualizações de segurança dos produtos Apple: http://support.apple.com/kb/HT1222
- Entre em contato com o hacker “The Pr0ph3t” pelo Twitter: @The_Pr0ph3t | https://twitter.com/The_Pr0ph3t