Via XSSed.com me encuentro con dos errores en ciertos sitios de la red MSN de Microsoft, los cuales permitirian entre otras cosas la ejecucion de codigo mediante XSS en ciertos casos, y en otros modificar el destino de un enlace de descarga de software.

El primer sitio es el que nos deja «personalizar» la URL de un enlace en una pagina de descarga en video.msn.com, como se puede ver en la imagen, lo mismo seria muy util para los correos que promocionan falsas actualizaciones de MS para hacer que el usuario baje algun malware.

ms_video_xss_small.jpg

Ver captura en grande

URL en cuestion:
http://video.msn.com/…..sitiomalicioso.com/malware.exe&idp=

Tambien se hace referencia en el articulo de Zone-H publicado tambien en XSSed, a ciertos XSS en el Shopping de MSN Italia, el mismo error puede ser encontrado el Shopping de MSN Brasil y en el caso de Mexico nos topamos con un Path y SQL Disclosure.

Shopping MSN Italia:
http://shopping.msn.it/search.php

Shopping MSN Brasil:
http://shopping.msn.com.br/MSNShopping/pesquisa.aspx

Shopping Prodigy/MSN Mexico:
Ingresar en http://msn.prml.com.mx/msn/ y en el recuadro de busqueda de compras, al lado del texto:  , ingresar una comilla (doble o simple) y con eso bastara para que el sistema nos devuelva bastante informacion, desde Paths del script hasta la consulta completa realizada a la base de datos.

Enlaces relacionados:
http://www.xssed.com/news/27/Microsoft_leaves_an_open_door_to_phishers/
http://www.zone-h.org/content/view/14697/31/

A partir de octubre los caracteres propios de las lenguas de España podrán incluirse en las direcciones con dominio “.es” en Internet, según informó el jueves en un comunicado el Ministerio de Industria, Turismo y Comercio español.

Red.es, entidad del Ministerio de Industria, Turismo y Comercio que registra los dominios en España, informó de que permitirá los caracteres con tilde y diéresis, así como la “ñ” y la “ç”, en las direcciones “.es” a partir del mes de octubre.

Para evitar especulaciones con los nombres, se establecerá una fase transitoria donde se dará prioridad a los actuales titulares.

Fuente: NoticiasDot.com

Importante: Algunas de las URLs citadas pueden estar activas y contener malware (virus, troyanos, etc) por lo que se recomienda precaución, y de ninguna manera me hago cargo por los problemas que pudiese causar el ingreso de algún usuario a las mismas.

Aparentemente ciertos individuos habrían logrado tener acceso a cuentas de 3.500 usuarios de esta empresa de hosting, que no es cualquier empresa, la misma aloja actualmente 500.000 dominios.

Según dicen, solo habrían sido modificados los archivos del 20% de esas 3.500 cuentas, lo que dejaría un numero de 0.15% de usuarios afectados de entre el total de alojados en DreamHost.

Leer más →