Уязвимость в “Живом Журнале”
В программном механизме блог-сервиса LiveJournal.com обнаружилась уязвимость, которую могут использовать в зловредных и корыстных целях спамеры и просто интернет-шутники.
Информация об уязвимости появилась на украинском ресурсе Watcher вместе со ссылкой на наглядный пример – запись пользователя werdender, при открытии которой выскакивает всплывающее окно.
Разработчик компании DataArt Александр Чистяков протестировал публикацию сторонних кодов через embed media. По его словам, с помощью этого инструмента обычно постят видео и другой медиа-контент – чтобы запись шла неразрывно, но таким же способом можно «обернуть» и html с других ресурсов – что и сделал пользователь werdender.
Чистяков предполагает, что уязвимость появилась тогда, когда в ЖЖ открыли возможность встраивать в записи видео и аудиоконтент – то есть, несколько лет назад. Существует также версия, что уязвимость как-то связана с работой надоедливого скрипта LJTimes, который тоже выскакивает в виде отдельного окна. Некоторые считают, что именно ради LJTimes руководство ЖЖ и разрешило такие скрипты. Но Чистяков полагает, что к этой медиа-надстройке дыра отношения не имеет.
«Хочу отметить, что ничего страшного и опасного в этой уязвимости я не вижу. Воровать пароли и другую конфиденциальную информацию с помощью неё нельзя, - подчеркнул Чистяков. – Зато можно развлекаться, вставляя в посты всплывающие окна с, например, неприличными изображениями».
www.securitylab.ru