В программном механизме блог-сервиса LiveJournal.com обнаружилась уязвимость, которую могут использовать в зловредных и корыстных целях спамеры и просто интернет-шутники.
Информация об уязвимости появилась на украинском ресурсе Watcher вместе со ссылкой на наглядный пример – запись пользователя werdender, при открытии которой выскакивает всплывающее окно.
«Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам жизнь. Это окошко и является тому доказательством. Опасность в том, что не я, бусечка, а какой-нибудь злодей или член партии воров и жуликов могут сделать так, что вы вообще не сможете убрать это окошко, соответственно, вы не сможете и читать ленточку. Первый пост об этом висит несколько дней, но портал до сих пор не закрыт. Засим прошу всех массово сообщить в СУП о том, что я самая что ни на есть настоящая бусечка, мне одному они не верят» - говорится в записи.
Разработчик компании DataArt Александр Чистяков протестировал публикацию сторонних кодов через embed media. По его словам, с помощью этого инструмента обычно постят видео и другой медиа-контент – чтобы запись шла неразрывно, но таким же способом можно «обернуть» и html с других ресурсов – что и сделал пользователь werdender.
Чистяков предполагает, что уязвимость появилась тогда, когда в ЖЖ открыли возможность встраивать в записи видео и аудиоконтент – то есть, несколько лет назад. Существует также версия, что уязвимость как-то связана с работой надоедливого скрипта LJTimes, который тоже выскакивает в виде отдельного окна. Некоторые считают, что именно ради LJTimes руководство ЖЖ и разрешило такие скрипты. Но Чистяков полагает, что к этой медиа-надстройке дыра отношения не имеет.
«Хочу отметить, что ничего страшного и опасного в этой уязвимости я не вижу. Воровать пароли и другую конфиденциальную информацию с помощью неё нельзя, - подчеркнул Чистяков. – Зато можно развлекаться, вставляя в посты всплывающие окна с, например, неприличными изображениями».
Источник: securitylab.ru.
|