Ο αναλυτής ασφάλειας David Sopas από την Πορτογαλία κατάφερε να προσδιορίσει ευπάθειες βασισμένες στο DOM-cross-site scripting (XSS) στις ιστοσελίδες των τριών παγκοσμίου φήμης παρόχων λύσεων ασφάλειας: την Kaspersky Lab, την Panda Security και την AVG Technologies.
Στην ιστοσελίδα της Kaspersky, η ευπάθεια βρίσκεται σε κακή επικύρωση του “location.hash” από το jQuery. Όταν η παράμετρος της URL φορτώνεται, ένας εισβολέας θα μπορούσε να εκτελέσει δικό του κακόβουλο κώδικα.
Στην ιστοσελίδα της AVG, το ελάττωμα υπήρχε στην ενότητα λήψης.
“Λόγω έλλειψης escaping/encoding το URL στο js_stdfull.js αρχείο, κάποιος κακόβουλος χρήστης θα μπορούσε να περάσει δικό του κώδικα στην ιστοσελίδα,” αναφέρει ο Sopas στο blog του.
Όσον αφορά τη Panda Security η ευπάθεια DOM XSS βρισκόταν σε ένα αρχείο που ονομάζεται aHref.js.
Ο εμπειρογνώμονας ανέφερε τα τρωτά σημεία στις παραπάνω εταιρίες. Όλες οι εταιρείες έσπευσαν να αντιμετωπίσουν τα ζητήματα, αλλά μόνο η Panda και η Kaspersky μίλησαν με τον Sopas.
Η AVG καθόρισε σιωπηλά την ευπάθεια χωρίς να απαντήσει στον ερευνητή.
“Το είδος της επίθεσης σε ευπάθειες βασισμένες στο DOM-cross-site scripting (XSS), το injection του κακόβουλου κώδικα εκτελείται από τον browser του hacker. Με άλλα λόγια, η απάντηση από το HTTP δεν αλλάζει, αλλά ο κώδικας πλευρά του χρήστη τρέχει “με διαφορετικό τρόπο”, “ανέφερε ο εμπειρογνώμονας στο Softpedia.
“Η αύξηση αυτού του τύπου των επιθέσεων οφείλεται στο γεγονός ότι σήμερα οι περισσότερες ιστοσελίδες χρησιμοποιούν το JavaScript στις web εφαρμογές τους. ”
«Ανάλογα με το είδος της ευπάθειας, ένας κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει ευπάθειες DOM XSS για να κλέψει πιστοποιήσεις χρήστη, να κάνει phishing ή ακόμη και για τη διάδοση malware. Ακριβώς όπως και οι κανονικές επιθέσεις XSS αλλά με ένα διαφορετικό τρόπο. Οι επιθέσεις XSS DOM εκτελούνται στον browser και έτσι η καταγραφή αυτού του είδους των επιθέσεων είναι πολύ δύσκολη. ”
Πρόσθετες τεχνικές λεπτομέρειες και αποδεικτικά στοιχεία είναι διαθέσιμα στην ιστοσελίδα του David Sopas.
