Décidément, les opérateurs télécom ne sont pas tous de bon élève en sécurité Web. Après la vulnérabilité trouvé chez SFR par theSnailSnapper, c'est TinKode qui dévoile un Proof Of Concept sur le site orange.co.uk .
Grâce à une injection de code dans l'URL, TinKode prouve qu'il est possible de voler les cookies d'authentification d'utilisateur. Cette vulnérabilité est d'autant plus sérieuse qu'elle est présente sur une page de demande de mot de passe.
Ensuite le pirate roumain montre qu'il est capable de piéger l'URL avec un faux logiciel. Ainsi un utilisateur suivant le lien (au travers d'un vague de phishing par exemple) se verra proposer de télécharger un logiciel. Cela pourrait très bien être un Stealer, un logiciel qui s'installe sur votre ordinateur, vol tous les mot de passe Firefox, IE, Steam, MSN, ... et les envoie par mail ou par ftp sur un serveur distant.
Ici un PoC avec Winamp :
Une vulnérabilité XSS menace les utilisateurs d'Orange
samedi 30 janvier 2010
Catégories : Malware, Phishing, Vulnérabilité, XSS
Inscription à :
Publier les commentaires (Atom)
0 commentaires:
Enregistrer un commentaire