0day
Mostrando entradas con la etiqueta 0day. Mostrar todas las entradas
Mostrando entradas con la etiqueta 0day. Mostrar todas las entradas

Compartimos exploit zero-day en WordPress


Hola amigos y lectores de Underc0de!

Cómo sabéis WordPress, es una de las plataformas de gestión de contenidos más populares para la creación de blogs o sitios webs que se ejecuten en entornos MySQL y Apache.

La facilidad de instalación del software (libre) y su uso intuitivo hacen que sea una de las opciones preferidas al momento de montar una web o bitácora propia.

Sin embargo, el sistema de gestión  no está exento de vulnerabilidades que los profesionales de la seguridad detectan con más frecuencia de la deseable.

En esta línea de ideas,  les traemos un Zero-day (autor: indoushka) -de fecha de hoy (13/12/2015)- vinculado a una vulnerabilidad remote file inclusion en WordPress  Squirrel Theme versión 1.6.4, describiéndosela como de alto riesgo.

Aquí podéis obtener el exploit.

Esta publicación tiene fines de divulgación, test e investigación. No nos responsabilizamos por el mal uso del mismo.

Fuente del Zero-day: 0day.today


Visítamos en Underc0de .
Read More

Una vulnerabilidad en Unity Web Player permite robar datos de los usuarios


Cada vez son más los desarrolladores que optan por utilizar esta plataforma para crear las aplicaciones para diferentes sistemas operativos. Web, Android, iOS, PlayStation o Windows Phone son algunas de las opciones que ofrece. Sin embargo, un error detectado en Unity Web Player podría exponer los datos del disco duro del equipo en el que se ejecuta.

Utilizado para renderizar aplicaciones creadas con este motor y disponible para los navegadores web más importantes como complemento, la compañía estima que cerca de 600  millones de usuarios lo utilizan en la actualidad, cifra que ya avisamos tiene trampa ya que se han basado en las descargas realizadas hasta este momento.

La vulnerabilidad zero-day detectada permite a un atacante ejecutar una aplicación maliciosa y que acceda a servicios y haga uso de las credenciales almacenadas en el equipo sin el consentimiento del usuario y evitando la seguridad impuesta por crossdomain.xml.

 CÓMO UTILIZAR ESTE FALLO DE SEGURIDAD DE UNITY WEB PLAYER

El investigador encargado de descubrir la vulnerabilidad ha publicado un vídeo en el que se puede apreciar cómo se puede producir este robo de información, acentuado en el navegador Internet Explorer por la presencia de determinadas características de seguridad.

El error fue reportado en diciembre del pasado año a los responsables de desarrollo de Unity pero el investigador aún no ha recibido ningún tipo de respuesta y el bug persiste, provocando que aparezcan las primeras dudas sobre la resolución del mismo.

Para minimizar el impacto de esta vulnerabilidad lo más recomendable es no ejecutar aplicaciones que provengan de fuentes desconocidas, pudiendo tomar como solución drástica llevar a cabo su desinstalación, algo complicado si de hacer si eres desarrollador y vas a necesitar este complemento.

Post: https://underc0de.org/foro/noticias-informaticas-120/una-vulnerabilidad-en-unity-web-player-permite-robar-datos-de-los-usuarios/
Read More
Suscribirse a: Entradas (Atom)