Google naprawia lukę w serwisie YouTube

Google naprawia lukę w serwisie YouTube06.07.2010 09:56
Google naprawia lukę w serwisie YouTube
Źródło zdjęć: © YouTube.com

W weekend nieznani sprawcy opatrzyli wiele filmów w serwisie YouTube komentarzami zawierającymi kod HTML, który uruchamiał się w przeglądarkach osób odwiedzających witrynę. Według doniesień amerykańskich mediów celem manipulacji były głównie klipy młodzieżowego piosenkarza Justina Biebera

Problem

Szkodliwe komentarze powodowały wyświetlanie okienek z obraźliwymi treściami i otwieranie innych stron WWW (głównie przeznaczonych dla dorosłych). Nie wiadomo, czy witryny te prowadziły również do zawirusowanych zasobów i infekowały komputery odwiedzających.

288755939153295507
Źródło zdjęć: © (fot. AFP)

Oprócz tego niektórzy blogerzy posługujący się wstawkami HTML pochodzącymi z YouTube'a i prowadzący tzw. kanały wideo również padli ofiarą ataków XSS. W tym wypadku sprawcy umieszczali kody, które metodą przewijanego tekstu (znacznik marquee) poruszały napisami po ekranie.

Zagrożenie

W zasadzie napastnicy mogli przez lukę typu Cross-Site Scripting odczytać również uwierzytelniające pliki cookie i pod fałszywymi pseudonimami logować się do YouTube'a. Mimo że serwis ten należy do Google'a, uzyskanie dostępu do kont tego ostatniego nie było możliwe.

Rozwiązanie

W weekend Google wyłączył tymczasowo funkcję zgłaszania komentarzy i już zamknął lukę. Jednak dla niektórych klipów, które padły ofiarą ataku, funkcja ta jest nadal wyłączona. Nie wiadomo, jak długo istniała usterka. Google zamierza dokładnie zbadać problem, aby w przyszłości nie doszło do podobnego incydentu.

Zwykle operatorzy witryn starają się za pomocą specjalnych zabezpieczeń uniemożliwiać użytkownikom zamieszczanie własnych treści interaktywnych (np. kod JavaScript) w profilach, komentarzach i innych wpisach. Niedawno również Twitter zamknął lukę XSS w mechanizmie weryfikacji używanego klienta serwisu. W wartości nagłówka Agent pochodzącego od klienta można bylo bowiem umieścić kod, który uruchamiał się w przeglądarce odwiedzającego.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)