Na YouTube bola chyba umožňujúca XSS útoky

DSL.sk, 5.7.2010

Na stránkach najpopulárnejšej služby zdieľania webového videa a celkovo jednej z najnavštevovanejších stránok sveta, YouTube.com, sa nachádzala bezpečnostná chyba umožňujúca perzistentné útoky typu cross-site scripting, XSS.

Chyta tak umožňovala útočníkom vkladať do stránok, konkrétne do stránok jednotlivých videí na YouTube, kód zobrazovaný aj ďalším návštevníkom týchto stránok, ktorý potenciálne mohol mať prístup k dátam užívateľa uloženým na YouTube účte a mohol v mene užívateľa na YouTube vykonávať akcie.

Informácie o existencii chyby sa stali verejnými v nedeľu večer nášho času potom, ako chyba začala byť verejne a viditeľne zneužívaná.

Chyba umožňovala bežným návštevníkom YouTube do komentárov na stránkach konkrétnych videí vkladať HTML a podľa dostupných informácií a screenshotov aj JavaScript kód, ktorý pri zobrazení komentárov návštevníkom nebol správne escapovaný a bol tak spustený v kontexte stránky videa.

V nedeľu chybu užívatelia zneužívali na pridávanie extrémneho formátovania svojich komentárov, zobrazovanie pop-upov alebo presmerovanie návštevníkov na cudzie stránky.

Spoločnosť Google podľa svojho stanoviska pre IDG do hodiny od zistenia chyby najskôr zablokovala zobrazovanie komentárov, následne do dvoch hodín bola chyba odstránená.

Odkedy bola chyba v YouTube stránkach prítomná, odkedy bola zneužívaná bez viditeľných prejavov a čo respektíve k akým dátam návštevníka YouTube stránky s videom sa mohli útočníci dostať zatiaľ spoločnosť Google nespresnila.


Najnovšie články:



Diskusia:

XSS útoku... Od reg.: Terepin | Pridané: 5.7.2010 14:35 ... sa mňa netýkajú; mám NoScript. Odpovedať Známka: -6.9 Hodnotiť:

Re: XSS útoku... Od reg.: OmeGa | Pridané: 5.7.2010 22:49 teba sa to netyka.. ty nemas prehliadac.. alebo este lepsie, nepouzivaj pocitac! Odpovedať Známka: 6.8 Hodnotiť:

youtube Od: penge | Pridané: 5.7.2010 14:48 Tak teraz už viem, prečo som včera nevidel komentáre. A teraz vážne. Najväčšiu chybu tvoria tie ich otravné reklamy :D Odpovedať Známka: 7.8 Hodnotiť:

Re: youtube Od reg.: jakub89 | Pridané: 5.7.2010 15:26 som prvy co ti to napise.. bez tych otravnych reklam by sme nemali youtube aky mame Odpovedať Známka: 7.6 Hodnotiť:

Re: youtube Od: mgs | Pridané: 5.7.2010 15:39 tak to by som vazne neprezil :))) Odpovedať Známka: 0.2 Hodnotiť:

Re: youtube Od reg.: Sheridan | Pridané: 6.7.2010 2:07 HOVNO tomu rozumies. Odpovedať Známka: -7.5 Hodnotiť:

Re: youtube Od reg.: Alino | Pridané: 5.7.2010 15:52 ja mam taky dobry adblock pre google chrome, ktory adblockuje kvalitne aj youtube reklamy, aj tie co su vo videu. http://goo.gl/fMr4 Odpovedať Známka: -3.6 Hodnotiť:

Re: youtube Od reg.: Terepin | Pridané: 6.7.2010 8:01 To určite. AdBlockery pre Chrome reklamy neblokujú, len ich skrývajú. Odpovedať Známka: 7.1 Hodnotiť:

hahaha Od: eternal_noob | Pridané: 5.7.2010 15:52 presmerovavali videa justina biebera na adult content :D pripadne na weby kde tvrdili ze je mrtvy Odpovedať Známka: 7.3 Hodnotiť:

Re: hahaha Od reg.: Alino | Pridané: 5.7.2010 15:57 http://goo.gl/vxyB Odpovedať Známka: -5.0 Hodnotiť:

Re: hahaha Od: dthdth | Pridané: 5.7.2010 23:00 hej.... 4chan sa zas zabaval Odpovedať Známka: 7.8 Hodnotiť:

youtube videa Od reg.: Ironman | Pridané: 5.7.2010 18:01 Na YouTube su videa? Moje oci tieto veci dokonale prehliadaju. Takisto som nevedel, ze su reklamy na Gmaili a to ho pouzivam kazdy den uz niekolko rokov... az kym ma na ne nejaky dobrak neupozornil. :) Odpovedať Známka: -7.5 Hodnotiť:

tak tak Od: karolkok | Pridané: 5.7.2010 19:22 A ja som sa cudoval :-D ze preco je vidno len video na youtube + cela stranka cierna a uplne hore scrooloval cerveny text "Free porn watch now" :-D Odpovedať Známka: 9.1 Hodnotiť:

Re: tak tak Od: dasdas | Pridané: 6.7.2010 7:26 a pozrel si sa ? :) Odpovedať Známka: 10.0 Hodnotiť:

HDDs ... Od reg.: Pjetro de | Pridané: 6.7.2010 7:52 Tak offtopic: http://www.pc.sk /modules.php?name=quick _news&what=read&id=2657 Jako hororim, 2,5 TB 5-platnaky tu mohli uz byt pred vyse rokom, len 5-platnakom sa vyrobcovia vyhybaju ked sa da, akurat cul Seagate to nezvladol a na 3 TB musel dat 5 platni, á 600 GB. Ak ma WD á 667 GB, potom je nad slnko jasne ze 2 TB bude uz nie 4-, ale iba 3-platnovy. Som nenormalne zvedavy, ci vydaju aj 4-platnovy 2,6666 TB a 5-platnovy 3,3333 TB, aby natreli na chleba Seagate i tym ich 3 TB externakom. Odpovedať Známka: -8.2 Hodnotiť:

Pridať komentár