Sorteo de políticas cross-domain en Unity Web Player

Fecha de publicación:

04/06/2015

Importancia:

3 - Media

Recursos afectados:

Internet Explorer
Firefox
Google Chrome, versiones anteriores a la 42.

Los navegadores están afectados tanto en sus versiones para Windows como para OSX.

Descripción:

Se ha identificado una vulnerabilidad en el plugin Unity Web Player que puede ser explotada de modo que una aplicación Unity maliciosa pueda eludir las políticas de seguridad entre dominios y acceder a cualquier página web con las credenciales del usuario actual.

Solución:

Según ha informado el investigador que ha reportado la vulnerabilidad, el fabricante es consciente del fallo y está desarrollando una actualización para corregirlo, si bien todavía no está disponible.

Es por ello que recomienda deshabilitar el complemento "Unity Web Player" en los navegadores afectados.

Detalle:

La vulnerabilidad en "Unity Web Player" permite a una aplicación maliciosa acceder, mediante el uso de una URL especialmente diseñada, a información de otros dominios o paginas web accesibles con las credenciales del usuario actual.

Referencias:

Unity Web Player cross-domain policy bypass

Etiquetas:

Vulnerabilidad

0day

Accesos corporativos

Sorteo de políticas cross-domain en Unity Web Player

Vulnerabilidad de contraseña embebida en Dell EMC Data Protection Advisor

Vulnerabilidad en Log Analysis de IBM

Desbordamientos de lectura y escritura en SolarWinds Dameware

Ejecución de comandos como root en IBM Spectrum Scale

Vulnerabilidad en dispositivos DrayTek