Deux nouveaux 0Day pour Facebook

Source de l'article : ZATAZ.com

Soufiane Tahiri, internaute chevronné, vient d'alerter ZATAZ.COM de la découverte d'une nouvelle faille de type XSS (Cross Site Scripting) pour le portail communautaire Facebook. Via un code que nous ne fournirons pas ici, la législation Française ne permet pas de révéler ce type de chose sous peine de finir entre quatre annuaires et deux flash balls, un pirate pourrait intercepter très facilement vos cookies, injecter un code malveillant ou orchestrer une redirection malicieuse. Le "Bug" fonctionne à partir du Mur de n'importe quel utilisateur de Facebook. [HaideD 319]


 

Dans un autre genre, une redirection a été mise à jour par un internaute du nom de Syrius (5yRµ5 7#3 V!Rµ5). Le hacker a fait part à ZATAZ.COM que cette possibilité pourrait permettre la mise en place d'un filoutage de données. ZATAZ.COM a pu constater cette possibilité de redirection. Elle est rendue possible via une application du nom de Heureux ou Malheureux. Nous vous déconseillons fortement de cliquer sur le moindre lien commençant par apps.facebook.com/heureaafceabe. Il en va clairement de votre sécurité numérique. [HaideD 321]



Nous avons informé notre contact privilégié travaillant pour Mark Zuckerberg. Les corrections sont en cours.

Mise à jour 17h00 : Receptif nos camarades de chez Facebook. "Pour la redirection, indique notre contact, ce n'est pas une faille. Les applications qui tournent en mode iframe peuvent executer du javascript dans leur propre context. Ils peuvent donc faire des redirections vers des sites tierces." Même si pour l'utilisateur le changement de site est visible dans la barre d'adresse, il faut rester vigileant. L'affichage de l'url de redirection pourrait renvoyer sur un site ressemblant à Facebook et permettre à un pirate de réaliser un hameçonnage de données.