Вразливість в "Живому Журналі"

admin Новини ІТ-безпеки

Вразливість в LiveJournalУ програмному механізмі блог-сервісу LiveJournal.com виявилася вразливість, яку можуть використовувати в шкідливих і корисливих цілях спамери і просто інтернет-жартівники.

Інформація про уразливість з'явилася на українському ресурсі Watcher разом з посиланням на наочний приклад - запис користувача werdender, при відкритті якої вискакує спливаюче вікно.

«Цим повідомляю, що в ЖЖ є дірка, яка дозволяє сильно ускладнити вам життя. Це віконце і є тому доказом. Небезпека в тому, що не я, бусечка, а який-небудь лиходій або член партії злодіїв і шахраїв можуть зробити так, що ви взагалі не зможете прибрати це віконце, відповідно, ви не зможете і читати стрічку. Перший пост про це висить кілька днів, але портал досі не закрито. Потім того прошу всіх масово повідомити в СУП про те, що я сама що ні на є справжня бусечка, мені одному вони не вірять »- йдеться в записі. А Шахраї виманили $ 2,7 млн у користувачів eBay

Розробник компанії DataArt Олександр Чистяков протестував публікацію сторонього кодучерез embed media. За його словами, за допомогою цього інструменту зазвичай постять відео і інший медіа-контент - щоб запис йшов нерозривно, але таким же способом можна «обернути» і html з інших ресурсів - що і зробив користувач werdender.

Чистяков припускає, що вразливість з'явилася тоді, коли в ЖЖ відкрили можливість вбудовувати в запис відео і аудіоконтент - тобто, кілька років тому. Існує також версія, що вразливість якось пов'язана з роботою докучливого скрипта LJTimes, який теж вискакує у вигляді окремого вікна. Деякі вважають, що саме заради LJTimes керівництво ЖЖ і дозволило такі скрипти. Але Чистяков вважає, що до цієї медіа-надбудови діра відношення не має.

«Хочу відзначити, що нічого страшного й небезпечного в цієї вразливості я не бачу. Красти паролі та іншу конфіденційну інформацію за допомогою неї не можна, - підкреслив Чистяков. - Зате можна розважатися, вставляючи в пости спливаючі вікна з, наприклад, непристойними зображеннями».

P.S.  Форум про Winamp взламали