Sorteo de políticas cross-domain en Unity Web Player

Fecha de publicación:

04/06/2015

Importancia:

3 - Media

Recursos afectados:

Internet Explorer
Firefox
Google Chrome, versiones anteriores a la 42.

Los navegadores están afectados tanto en sus versiones para Windows como para OSX.

Descripción:

Se ha identificado una vulnerabilidad en el plugin Unity Web Player que puede ser explotada de modo que una aplicación Unity maliciosa pueda eludir las políticas de seguridad entre dominios y acceder a cualquier página web con las credenciales del usuario actual.

Solución:

Según ha informado el investigador que ha reportado la vulnerabilidad, el fabricante es consciente del fallo y está desarrollando una actualización para corregirlo, si bien todavía no está disponible.

Es por ello que recomienda deshabilitar el complemento "Unity Web Player" en los navegadores afectados.

Detalle:

La vulnerabilidad en "Unity Web Player" permite a una aplicación maliciosa acceder, mediante el uso de una URL especialmente diseñada, a información de otros dominios o paginas web accesibles con las credenciales del usuario actual.

Referencias:

Unity Web Player cross-domain policy bypass

Etiquetas:

Vulnerabilidad

0day

Accesos corporativos

Sorteo de políticas cross-domain en Unity Web Player

Actualizaciones críticas en Oracle (abril 2019)

Múltiples vulnerabilidades de lectura fuera de límites en productos VMware

Múltiples vulnerabilidades en API Connect de IBM

Múltiples vulnerabilidades en dispositivos Juniper

Múltiples vulnerabilidades en BIG-IP de F5