Kaspersky Lab zveřejnila informace o útoku na stránkách YouTube.com, které vedly v mnoha počítačích svých uživatelů ', že byli nakaženi škodlivých programů. Autorem textu je Marta Janus, rizika analytik, Kaspersky Lab Polsko, člen Velké (Global Research a analýza Team).
V neděli 4. července mnoho fanoušků popové hvězdy s názvem Justin Bieber setkal nevítané překvapení: sledování videa na youtube.com váš idol, oni byli bombardováni s pop-up zprávy o jeho smrti, nebo přesměrován na webové stránky je "jen dospělí".
Tento poměrně rychle zaujala specialistů v oblasti IT bezpečnosti a zjistili, že YouTube se stal obětí klasického XSS útok (Cross-site scripting).
Útoky tohoto typu opírat o zařazení škodlivého kódu skriptu webové stránky, který se poté přemění na prohlížeč uživatele jako plnohodnotnou součástí této stránky. Škodlivý kód je "injekce" s nedostatky v mechanismu sběru dat od uživatele. Někteří účastníci - především fór a portálů - na základě skutečnosti, že procesy a zobrazí text, který jste dříve zadali v náležité formě. Pokud nemáte odpovídající bezpečnostní byla k ochraně proti neoprávněné nebo nesprávné zpracování údajů, může útočník snadno přidat kód, co se mu zlíbí - například skript přesměruje na jinou stránku nebo soubor škodlivého softwaru. Každý další uživatel prohlíží stránku bude vystaven tento skript.
Pokud YouTube se ukázala být díra v mechanismu pro přidání komentáře. Vhodně vytvořený text komentáře povoleno pro vstřikování libovolného kódu HTML, který pak byl správně vyložen v prohlížeči. V důsledku toho by mohla používat HTML tagy také se vstříkne do kódu skriptů VBS a Javascript.
Odpověď od společnosti Google byla rychlá a efektivní - kritickou chybu zabezpečení, která nemá tento útok byl stanoven na datum zveřejnění, a nebezpečných Komentáře odstraněn z webu.
Zdroj: Kaspersky Lab
Příspěvky
Žádné komentáře:
Okomentovat