Sorteo de políticas cross-domain en Unity Web Player

Fecha de publicación:

04/06/2015

Importancia:

3 - Media

Recursos afectados:

Internet Explorer
Firefox
Google Chrome, versiones anteriores a la 42.

Los navegadores están afectados tanto en sus versiones para Windows como para OSX.

Descripción:

Se ha identificado una vulnerabilidad en el plugin Unity Web Player que puede ser explotada de modo que una aplicación Unity maliciosa pueda eludir las políticas de seguridad entre dominios y acceder a cualquier página web con las credenciales del usuario actual.

Solución:

Según ha informado el investigador que ha reportado la vulnerabilidad, el fabricante es consciente del fallo y está desarrollando una actualización para corregirlo, si bien todavía no está disponible.

Es por ello que recomienda deshabilitar el complemento "Unity Web Player" en los navegadores afectados.

Detalle:

La vulnerabilidad en "Unity Web Player" permite a una aplicación maliciosa acceder, mediante el uso de una URL especialmente diseñada, a información de otros dominios o paginas web accesibles con las credenciales del usuario actual.

Referencias:

Unity Web Player cross-domain policy bypass

Etiquetas:

Vulnerabilidad

0day

Accesos corporativos

Sorteo de políticas cross-domain en Unity Web Player

Múltiples vulnerabilidades en IBM HTTP Server

Múltiples vulnerabilidades en productos Juniper

Múltiples vulnerabilidades en productos de TIBCO

Actualizaciones de seguridad de Microsoft de enero de 2022

Actualización de seguridad de SAP de enero de 2022