Kaspersky Lab ha pubblicato informazioni circa l'attacco sul sito YouTube.com, che ha portato molti dei computer dei suoi utenti 'sono stati infettati da programmi maligni. L'autore del testo è Marta Janus, analista di rischio, Kaspersky Lab Polonia, membro del Grande (Global Research and Analysis Team).
Il Domenica 4 luglio, molti fan di una pop star di nome Justin Bieber incontrato una sgradita sorpresa: guardare i video su youtube.com il tuo idolo, sono stati bombardati con messaggi pop-up sulla sua morte, o reindirizzati al sito web di "Adults Only".
Questo abbastanza rapidamente catturato l'interesse di specialisti in sicurezza IT e ha scoperto che YouTube è stato vittima di un classico attacco XSS (Cross-site scripting).
Attacchi di questo tipo invocare l'inserimento di codice script dannoso sito web, che viene poi convertito dal browser dell'utente come parte integrale di questo sito. Il codice maligno viene "iniettato" con le lacune del meccanismo di dati raccolta da parte dell'utente. Molte delle parti - soprattutto forum and portali - basata sul fatto che elabora e visualizza il testo precedentemente inserito nella forma appropriata. Se non si dispone di security appropriato era di proteggere contro il trattamento illecito o non corretto dei dati, un aggressore può facilmente aggiungere il codice di quello che vuole - per esempio, lo script reindirizza a un altro sito o una raccolta di software dannoso. Ogni utente aggiuntivo la navigazione della pagina verrà esposto a questo script.
Se YouTube si è rivelato un buco nel meccanismo per aggiungere commenti. Opportunamente predisposto testo del commento permesso per l'iniezione di codice HTML arbitrario, che allora era interpretato correttamente dal browser. Come risultato, utilizzando i tag HTML potrebbe anche essere iniettato nel codice degli script VBS e Javascript.
La risposta di Google è stato rapido ed efficiente - una vulnerabilità critica che ha permesso questo attacco è stato fissato alla data di pubblicazione, e messaggi pericolosi rimossi dal sito.
Fonte: Kaspersky Lab
Post
Nessun commento:
Posta un commento