security3

Kaspersky, Panda και AVG, θύματα DOM-cross-site scripting (XSS)

Ο αναλυτής ασφάλειας David Sopas από την Πορτογαλία κατάφερε να προσδιορίσει ευπάθειες βασισμένες στο DOM-cross-site scripting (XSS) στις ιστοσελίδες των τριών παγκοσμίου φήμης παρόχων λύσεων ασφάλειας: την Kaspersky Lab, την Panda Security και την AVG Technologies.

Στην ιστοσελίδα της Kaspersky, η ευπάθεια βρίσκεται σε κακή επικύρωση του “location.hash” από το jQuery. Όταν η παράμετρος της URL φορτώνεται, ένας εισβολέας θα μπορούσε να εκτελέσει δικό του κακόβουλο κώδικα.

Στην ιστοσελίδα της AVG, το ελάττωμα υπήρχε στην ενότητα λήψης.

“Λόγω έλλειψης escaping/encoding το URL στο js_stdfull.js αρχείο, κάποιος κακόβουλος χρήστης θα μπορούσε να περάσει δικό του κώδικα στην ιστοσελίδα,” αναφέρει ο Sopas στο blog του.

Όσον αφορά τη Panda Security η ευπάθεια DOM XSS βρισκόταν σε ένα αρχείο που ονομάζεται aHref.js.

 

Ο εμπειρογνώμονας ανέφερε τα τρωτά σημεία στις παραπάνω εταιρίες. Όλες οι εταιρείες έσπευσαν να αντιμετωπίσουν τα ζητήματα, αλλά μόνο η Panda και η Kaspersky μίλησαν με τον Sopas.

Η AVG καθόρισε σιωπηλά την ευπάθεια χωρίς να απαντήσει στον ερευνητή.

  ESET Smart Security διαγωνισμός κερδίστε 10 άδειες

“Το είδος της επίθεσης σε ευπάθειες βασισμένες στο DOM-cross-site scripting (XSS), το injection  του κακόβουλου κώδικα εκτελείται από τον browser του hacker. Με άλλα λόγια, η απάντηση από το HTTP δεν αλλάζει, αλλά ο κώδικας πλευρά του χρήστη τρέχει “με διαφορετικό τρόπο”, “ανέφερε ο εμπειρογνώμονας στο Softpedia.

“Η αύξηση αυτού του τύπου των επιθέσεων οφείλεται στο γεγονός ότι σήμερα οι περισσότερες ιστοσελίδες χρησιμοποιούν το JavaScript στις web εφαρμογές τους. ”

«Ανάλογα με το είδος της ευπάθειας, ένας κακόβουλος χρήστης θα μπορούσε να χρησιμοποιήσει ευπάθειες DOM XSS για να κλέψει πιστοποιήσεις χρήστη, να κάνει phishing ή ακόμη και για τη διάδοση malware. Ακριβώς όπως και οι κανονικές επιθέσεις XSS αλλά με ένα διαφορετικό τρόπο. Οι επιθέσεις XSS DOM εκτελούνται στον browser και έτσι η καταγραφή αυτού του είδους των επιθέσεων είναι πολύ δύσκολη. ”

Πρόσθετες τεχνικές λεπτομέρειες και αποδεικτικά στοιχεία είναι διαθέσιμα στην ιστοσελίδα του David Sopas.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  51  =  52