Corretta un’altra falla di sicurezza in Facebook

Ancora problemi di sicurezza per  Facebook. La segnalazione arriva da IDG News, che ha ripreso quanto riportato dallo studente Steven Abbagnaro sul suo blog.

Il bug  consentiva ad un malintenzionato di cancellare tutti i contatti inseriti nella lista degli amici di un generico utente.

Il proof-of-concept realizzato da Abbagnaro sfrutta lo stesso bug CSRF (”Cross-Site Request Forgery”) utilizzato poco tempo fa da M.J. Keith, esperto di sicurezza di Alert Logic.

Keith aveva mostrato come fosse possibile aggiornare le informazioni di profilo e privacy di un utente nonostante eventuali impostazioni esistenti.

I responsabili di Facebook, a quanto pare si sono preoccupati di dichiarare chiuso il problema un po’ troppo in fretta.

Dopo una serie di test Abbagnaro ha infatti verificato che il bug CSRF era ancora lì, e consentiva per l’appunto la cancellazione della lista dei contatti amici.

Sembra che il problema sia stato “definitivamente” risoltolo scorso 22 maggio.  A confermarlo lo stesso Abbagnaro in un update al post originale, nel quale oltre ai dettagli sull’attacco compare anche un “video dimostrativo”.

Advertisements

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: