Se descubrió que mucha gente había estado abusando de esto para hacer que se obligase a seguir a varias celebridades y publicaciones. Twitter ha reconocido el problema y ha desactivado el sistema de seguir/dejar de seguir, temporalmente, mientras corrigen el problema.

Fuente: alcancelibre

La vulnerabilidad permite sea explotada la política same-origin (mismo-origen) afectando a prácticamente todos los sitios que permitan actualizar contenido generado por los usuarios. Esto afecta al 99% de los usuarios de Internet alrededor del mundo, mientras tengan instalado Adobe Flash.

La política involucrada (same-origin) es similar a la de JavaScript, permitiendo que un objeto Flash solo pueda acceder hacia contenido desde el dominio en el que se origina la petición. Si un usuario puede poner un objeto Flash en un servidor, éste podrá ejecutar guiones en el contexto del dominio del servidor. Por tanto, cualquier sitio que permita subir ficheros de alguna manera, sin validar éstos, se verá comprometido, permitiendo a un atacante utilizar un objeto Flash, sin necesidad de poner a éste la extensión .swf o sin cabeceras especiales para definir el tipo de contenido, pudiendo realizarse ataques de ejecución cruzada de guiones entre sitios (Cross-Site Scripting).

El siguiente vídeo explica más detalladamente el problema con terroríficos ejemplos.

Fuente: alcancelibre.org

La falla se relaciona con un sistema de ofertas que opera Bing, y que potencialmente permite que los usuarios y empresas estén expuestos a transacciones falsas. Bing “cash back” fue lanzado el año pasado y permite que las personas que lo usen tengan la opción de obtener dinero de vuelta cada vez que compran un producto utilizando el servicio.

La falla permite que, quienes la descubrieron, puedan adueñarse de grandes cantidades de dinero que corresponderían a otros usuarios.

Meghani indicó en su blog:

Nunca he comprado nada usando Bing Cashback, pero el balance de mi cuenta es de USD$2.080,06. No voy a explicar exactamente cómo generar los requerimientos falsos para hacer esto, pero no es complicado”

A pesar de que se trataba más bien de un post de advertencia, la reacción de Microsoft fue inmediatamente amenazar con acciones legales contra la persona que descubrió el error.

Estoy sorprendido que se tomaran tantas molestias para que yo retirara la información que es obvia para cualquiera que lea sus documentos. No me gusta lidiar con abogados, así que he decidido aceptar su requerimiento”, dijo Meghani después de retirar el post de la discordia.

La falla y la actitud de Microsoft podrían costarle a Bing, que intenta desde su lanzamiento en Mayo quitarle terreno a Google – algo que ha logrado a penas, alcanzando de acuerdo a las últimas cifras un 9% de participación de mercado. La compañía no ha hecho declaraciones oficiales respecto a este caso.

Fuente

Para un usuario con malas intenciones es posible crear una cuenta falsificada en Bing, lo cual pude resultar en costos de la función cash-back falsificados y pude bloquear clientes legítimos de Bing que pudieran recibir dinero proveniente de cash-back. La publicación original fue retirada debido a las amenazas legales, sin embargo se pude leer (aún) en el propio sistema de cache de Bing. El autor, sin embargo, ha dicho que aún si desaparece evidencia de su descubrimiento, otros eventualmente lo repetirán simplemente leyendo la documentación del SDK de Bing cash-back.

Fuente

La falla le ocurrió a algunos usuarios que actualizaron su sistema a Snow Leopard, y luego entraron con una cuenta de “invitado” a sus máquinas. Cuando intentaron entrar con su propio usuario al computador, se encontraron con la sorpresa de que todos sus archivos personales (documentos, música y video) habían desaparecido.

“Estamos conscientes del problema, que ocurre sólo en casos extremadamente raros, estamos trabajando en una solución”, dijo la firma en un comunicado, un mes después de las primeras quejas.

El problema ha sido ampliamente discutido en los foros de Apple, y aunque algunos han logrado recuperar los datos perdidos, la mayoría sólo desapareció.

Fuente