Cross-Site Scripting (XSS) no Facebook Gera Publicação Arbitrária

Uma vulnerabilidade Cross-Site Scripting (XSS), (que até o momento continua sem correção) encontrada na API mobile do Facebook, está sendo explorada para envio de mensagens para os murais de publicação dos usuários da rede social. Isso funciona como uma porta aberta para o site especialmente criado para explorar a falha.

A exploração desta vulnerabilidade vem ocorrendo faz um bom tempo. Entretanto, apenas há poucos dias ela foi colocada em prática em larga escala. De acordo com explanações da expert em segurança Symantec, "isso permite a qualquer site incluir, por exemplo, um elemento iframe maliciosamente preparado, que contenha um código JavaScript, ou possa incluir um atributo "http-equiv" para redirecionar o navegador para a URL contendo o JavaScript". "Todo e qualquer usuário que estiver logado no Facebook e visitar um site que contenha esse elemento, automaticamente postará uma mensagem arbitrária em seu mural."

Nenhuma interação do usuário é necessária para que as mensagens se espalhem através do Facebook em um ritmo tão acelerado. A equipe de segurança do Facebook foi notificada sobre a vulnerabilidade, e está trabalhando em uma correção. Todos esperam que esse ajuste seja emitido em breve, uma vez que o ataque parece ter grande facilidade de ocorrer novamente.


Saiba Mais:

[1] Help Net Security: http://www.net-security.org/secworld.php?id=10814