Cross-Site Scripting (XSS) em subdomínio da Apple

Um hacker espanhol de 16 anos, conhecido como “The Pr0ph3t”, integrante do Underc0de.org, fórum dedicado à segurança cibernética, encontrou uma vulnerabilidade XSS no subdomínio https://locate.apple.com, da Apple.

Cross Site Scripting ou XSS

Ataques Cross-Site Scripting são um tipo de problema de injeção, em que scripts maliciosos são injetados em sites confiáveis. Esta vulnerabilidade pode ser utilizada por atacantes para contornar os controles de acesso. O script malicioso pode acessar os cookies, tokens de sessão ou outras informações confidenciais retidas pelo seu navegador.

Figura 1: XSS em execução no subdomínio https://locate.apple.com

Figura 2: Detalhe de uma solicitação POST para explorar o bug XSS

Figura 3: Bug explorável também por GET

A vulnerabilidade foi verificada pela equipe do portal The Hacker News. “The Pr0ph3t” relatou a descoberta no subdomínio da Apple, mas a vulnerabilidade ainda existe.

“Para a segurança dos nossos clientes, não divulgamos, discutimos ou confirmamos problemas de segurança até que uma investigação tenha sido feita e todos os patches ou versões necessárias estejam disponíveis”, previne a Apple.

A empresa ainda não divulgou nota sobre o assunto.

Links úteis

fontes:
Underc0de.org
Seguridad Apple
The Hacker News

Como está a Segurança Digital da sua empresa?

Converse com nossos especialistas.