У праграмным механізме блог-сэрвісу LiveJournal.com выявілася ўразлівасць, якую могуць выкарыстаць у шкодных і карыслівых мэтах спамеры і проста інтэрнэт-жартаўнікі.
Інфармацыя аб уразлівасці з'явілася на ўкраінскім рэсурсе Watcher разам са спасылкай на навочны прыклад – запіс карыстача werdender, пры адкрыцці якой выскоквае ўсплывальнае акно. «Сучаснасцю апавяшчаю, што ў ЖЖ ёсць дзірка, якая дазваляе моцна ўскладніць вам жыццё. Гэтае акенца і з'яўляецца таму доказам. Небяспека ў тым, што не я, бусечка, а які-небудзь злыдзень або чалец партыі злодзеяў і жулікаў могуць зрабіць так, што вы наогул не зможаце прыбраць гэтае акенца, адпаведна, вы не зможаце і чытаць стужачку. Першы пост аб гэтым вісіць некалькі дзён, але партал дагэтуль не зачынены. Засим прашу ўсіх масава паведаміць у СУП аб тым, што я самая што ні на ёсць сапраўдная бусечка, мне аднаму яны не вераць» - гаворыцца ў запісы. Распрацоўнік кампаніі DataArt Аляксандр Чысцякоў пратэставаў публікацыю іншых кодаў праз embed media. Па ім словам, з дапамогай гэтай прылады звычайна пасцяць відэа і іншы медыя-кантэнт – каб запіс ішла непарыўна, але такім жа спосабам можна «абгарнуць» і html з іншых рэсурсаў – што і зрабіў карыстач werdender. Чысцякоў мяркуе, што ўразлівасць з'явілася тады, калі ў ЖЖ адкрылі магчымасць убудоўваць у запісы відэа і аўдыёкантэнт – гэта значыць, некалькі гадоў назад. Існуе таксама версія, што ўразлівасць як-то звязаная з працай надакучлівага скрыпту LJTimes, які таксама выскоквае ў выглядзе асобнага акна. Некаторыя лічаць, што менавіта дзеля LJTimes кіраўніцтва ЖЖ і дазволіла такія скрыпты. Але Чысцякоў лічыць, што да гэтай медыя-надбудове дзюра стаўлення не мае. «Жадаю адзначыць, што нічога страшнага і небяспечнага ў гэтай уразлівасці я не бачу. Красці паролі і іншую канфідэнцыйную інфармацыю з дапамогай яе нельга, - падкрэсліў Чысцякоў. – Затое можна забаўляцца, устаўляючы ў пасты ўсплывальныя вокны з, напрыклад, непрыстойнымі малюнкамі».
Уразлівасць у “Жывым Часопісе”
18 лютага 2011
Каментароў (0)