Según recientes noticias desde BlackHat, los feeds RSS o Atom pueden presentar un riesgo de ataques.
Los atacantes podrían insertar código JavaScript malicioso en el contenido transferido a los suscriptores que utilicen el popular sistema RSS (Really Simple Syndication) o Atom.
El problema no sólo afecta a blogs, sino a cualquier tipo de información que pueda ser transmitido a un suscriptor vía RSS e inclusive listas de correo. La mayoría de las aplicaciones de lectura de feeds permiten ejecutar código JavaScript dada a una pobre implementación de seguridad, lo que significa que cualquier equipo es vulnerable.
DiarioTI:
SPI Dynamics ha investigado una serie de lectores de feeds, y concluido que muchos de ellos no pueden detectar comentarios con código maligno. A modo de ejemplo menciona Bloglines, RSS Reader, RSS Owl, Feed Demon y Sharp Reader.
Benyi también habló sobre este nuevo riesgo a la seguridad.
.comentarios
[...] Desde hace algún tiempo se viene comentando una de las debilidades más grandes detrás de los Feeds. Ésta se refiere a que uno supone que no conllevan ningún riesgo. Tanto así, que los desarrolladores, prestan poca atención al código que pueda ser insertado en los feeds, a la hora de crear los programas lectores. Desde entonces, se habla mucho sobre la facilidad de insertar JavaScripts en los feeds para explorar alguna vulnerabilidad. [...]
[...] una de mis ideas locas, llegué a pensar que el uso de los feeds para este tipo de acciones era mucho más factible, ya que los lectores de feeds no suelen proveer protección o [...]
