SKY-net

Участник группы хакеров из России, называющей себя Virtual Luminous Security, обнаружил XSS-уязвимость в крупнейшем IM-клиенте eBuddy. Злоумышленник может передавать сообщения с вложенным зашифрованным вредоносным кодом JavaScript.  

Уязвимость существует из-за ошибки в функции обмена сообщениями. Злоумышленник может выполнить произвольный код в браузере жертвы.  

Пример эксплоита:  

alert('eBuddy Persistent XSS');  

Закодированное сообщение: text=%3Cscript%3Ealert%28'eBuddy%20Persistent%20XSS'%29%3C/script%3E  

Злоумышленник посылает закодированное сообщение:  

Жертва получает закодированное сообщение и сценарий выполняется в браузере жертвы:  

www.securitylab.ru

Опубликовано 02.09.2011 14:45 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Специалисты по защите информации обеспокоены активным применением АРТ-атак
• Virtual Appliance OS — виртуализация от Red Hat и Intel
• Продукт компании WebAsyst Shop-Script виноват в утечке пользовательских данных
• Появились подробности о взломе сети RSA Security
• Межсайтовый скриптинг в Livejournal.com