CVE-2016-1617 (Sniffly) fue una vulnerabilidad muy divertida del año pasado ya que utilizaba el HTTP Strict Transport Security y la Content Security Policy para filtrar todo el historial de un usuario de Firefox o Chrome. Esta vulnerabilidad ya estaba solucionada pero, [diracdeltas] he ha dado una vuelta de tuerca mas y ha presentado Sniffly2.
Sniffly2 es una variante de Sniffly que abusa de los encabezados HTTP Strict Transport Security y esta vez, del Performance Timing API para ver el historial de navegación de los navegadores basados en Chromium. Aunque ya no afecta a Firefox y versiones móviles de Chrome aunque podéis probar la vulnerabilidad desde el siguiente enlace:
Muchas mas información acerca la vulnerabilidad:
Sed Buenos con esto 0;)
No hay comentarios:
Publicar un comentario