XSS вірус в Quicktime
19:35 05.12.2006Два дні тому, RSnake повідомив в себе Quicktime XSS Worm Hits Myspace, що користувачі відомомого онлайнового сервіса Myspace були атаковані XSS вірусом, причому в Quicktime файлі.
Це не перший випадок XSS вірусів (і про цю цікаву тему я же буду розповідати), однак у випадку XSS в Quicktime - це перший подібний вірус. Який вже набув розголосу, після нанесення шкоди користувачам Myspace, я зараз даний випадок обговорюють в секюріті спільноті.
Даний вірус використовував методику XSS в Quicktime, про яку я вже писав. Був використаний принцип створення бекдору в Quicktime, про який розповідав pdp (його код був використаний розробниками віруса).
І те, що подібний інцидент мав місце, говорить про явні проблеми безпеки (особливо стосовно Cross-Site Scripting). Варто очікувати нових подібних випадків, в тому числі і з використанням Quicktime, тому що варіантів використання XSS чимало, як і самих векторів включення й атак через XSS.