Articles avec le tag ‘faille’

Vulnérabilité 0day de type XSS pour Wordpress 2.8.x

19 juil 2009 Sécurité par xc3ptional 5 Commentaires

1 Étoile2 Étoiles3 Étoiles4 Étoiles5 Étoiles (2 vote(s) - moyenne: 5,00 sur 5)
Loading ... Loading ...
666 lectures
  • Facebook
  • Twitter
  • Technorati
  • Digg
  • del.icio.us
  • Ping.fm
  • HelloTxt
  • Netvibes
  • LinkedIn
  • StumbleUpon
  • Tumblr
  • MySpace
  • Google Bookmarks
  • Wikio
  • Print
  • email

Vulnérabilité 0day de type XSS pour Wordpress 2.8.x securite wp

Le CMS Wordpress <= 2.8.1 (toutes les versions actuelles) souffrent d’une vulnérabilité 0day de type Cross Site Scripting (XSS), une personne malveillante peut exploiter ce défaut en le combinant avec du phishing afin de subtiliser le mot de passe de l’administration, qui se traduira par une modification des billets, pages ou autres selon le niveau du compte piraté, ou pire comme une redirection + infection de ce dernier, bref beaucoup de scénarios sont envisageables.

Le champ vulnérable est $comment_author_url et l’attaque marche de la sorte : un simple utilisateur (ou administrateur) subira l’attaque après le survole de l’adresse web d’un pirate préalablement posté via un commentaire sur le blog / site.

PoC (Proof of Concept):

il suffit de poster un commentaire en utilisant comme (url) adresse de site web :

http://blog.eternal-impact.net’ onmousemove=’location.href=String.fromCharCode(104,116,116,112,58,47,47,98,108,
111,103,46,101,116,101,114,110,97,108,45,105,109,112,97,99,116,46,110,101,116);

et quiconque survolera le lien se fera rediriger vers : http://blog.eternal-impact.net

Lire la suite de cette entrée »

Tags: , , , , , , , , ,

DSi : Nouveau exploit signé Team Twiizers

15 juil 2009 Hack par xc3ptional Laisser un commentaire

1 Étoile2 Étoiles3 Étoiles4 Étoiles5 Étoiles (1 vote(s) - moyenne: 5,00 sur 5)
Loading ... Loading ...
845 lectures
  • Facebook
  • Twitter
  • Technorati
  • Digg
  • del.icio.us
  • Ping.fm
  • HelloTxt
  • Netvibes
  • LinkedIn
  • StumbleUpon
  • Tumblr
  • MySpace
  • Google Bookmarks
  • Wikio
  • Print
  • email

DSi : Nouveau exploit signé Team Twiizers hack dsi

Un nouveau exploit vient de voir le jour sur la nouvelle console pocket Nintento DSi cette fois-ci signé par la Team Twiizers, cette dernière à qui on doit déjà beaucoup, auteurs du : Twilight Hack, DVDx, BootMii, HackMii…

Je vous laisse avec une vidéo teaser en attendant plus de détails techniques et les fichiers nécessaires pour l’exploitation et le test de cette nouvelle faille.

Et voilà une nouvelle porte de plus qui ouvre la petite nouvelle DSi au monde underground et surtout au développement d’homebrews sur cette dernière.

Tags: , , , , , ,

Remédier à la faille critique de Firefox 3.5

14 juil 2009 Web par xc3ptional 2 Commentaires

1 Étoile2 Étoiles3 Étoiles4 Étoiles5 Étoiles (1 vote(s) - moyenne: 5,00 sur 5)
Loading ... Loading ...
2 860 lectures
  • Facebook
  • Twitter
  • Technorati
  • Digg
  • del.icio.us
  • Ping.fm
  • HelloTxt
  • Netvibes
  • LinkedIn
  • StumbleUpon
  • Tumblr
  • MySpace
  • Google Bookmarks
  • Wikio
  • Print
  • email

Remédier à la faille critique de Firefox 3.5 web vulnerability

Une vulnérabilité affecte la nouvelle version du navigateur web firefox 3.5 au niveau du compilateur JavaScript (JIT) Just-in-time, cette découverte qui date de la semaine précédente vient d’être rendue publique (alors plus de possibilités d’exploitation)

voici comment y remédier temporairement :

1 – taper dans la barre d’adresse de firefox : about:config et valider
2 – valider une 2ème fois en cliquant sur le bouton : Je ferai attention, promis !
3 – taper dans la zone de texte Filtre : jit
4 – double cliquer sur javascript.options.jit.content pour changer sa valeur de true à false

en attendant la sortie de la prochaine version de firefox 3.5.1 (annoncée depuis une semaine déjà et prévue pour les jours à venir)

Tags: , , , , ,