XSS вірус в Quicktime

19:35 05.12.2006

Два дні тому, RSnake повідомив в себе Quicktime XSS Worm Hits Myspace, що користувачі відомомого онлайнового сервіса Myspace були атаковані XSS вірусом, причому в Quicktime файлі.

Це не перший випадок XSS вірусів (і про цю цікаву тему я же буду розповідати), однак у випадку XSS в Quicktime - це перший подібний вірус. Який вже набув розголосу, після нанесення шкоди користувачам Myspace, я зараз даний випадок обговорюють в секюріті спільноті.

Даний вірус використовував методику XSS в Quicktime, про яку я вже писав. Був використаний принцип створення бекдору в Quicktime, про який розповідав pdp (його код був використаний розробниками віруса).

І те, що подібний інцидент мав місце, говорить про явні проблеми безпеки (особливо стосовно Cross-Site Scripting). Варто очікувати нових подібних випадків, в тому числі і з використанням Quicktime, тому що варіантів використання XSS чимало, як і самих векторів включення й атак через XSS.


Leave a Reply

You must be logged in to post a comment.