En la guerra entre digg y Netscape, algunos usuarios no se conforman con posicionarse a favor de uno u otro, sino que se dedican además a buscar fallos en su competidor y, en esta ocasión, los han encontrado en el más nuevo, Netscape.
El fallo, conocido como XSS (Cross Site Scripting) permite que un usuario introduzca código en JavaScript que se ejecuta en el navegador del resto de los usuarios al acceder a la página. Esto se produce porque no se filtra correctamente la entrada del usuario para eliminar estas partes maliciosas.
Esto ha provocado que al visitar algunas de las páginas, incluyendo en ocasiones la página principal, se nos muestre una ventana con texto colocado ahí por el usuario que envió la noticia. Parece que por ahora el ataque no ha ido más allá, pero sería posible insertar código malicioso que enviara las cookies de la página a un atacante o que modificara el aspecto de la página.
Es de esperar que, a estas horas, el problema esté ya solucionado.
Vía | F-Secure weblog.
Ver 1 comentarios