domenica 4 luglio 2010

YouTube è vulnerabile ad attacchi XSS

Nelle ultime ore diverse fonti (tra cui: The Next Web, Techie Buzz, Mikko Hypponen) riportano la notizia che YouTube sia vulnerabile ad attacchi di tipo cross-site scripting (XSS). 
I dettagli sono ancora scarsi perché la notizia è ancora molto fresca tuttavia, secondo le prime informazioni disponibili, sembra che il problema renda possibile inserire codice nei commenti ai video.

Le prime pagine prese di mira sembrano essere legate a video del cantante Justin Bieber (che, siccome sono ormai diventato vecchio, non ho idea di chi sia ;-))) )

Secondo Mikko Hypponen il problema sembra che sia legato alla possibilità di inserire codice javascript nei commenti; la modalità utilizzata per evadere i controlli operati dal sito sarebbe quella di inserire due tag "script" consecutivi. In questo modo, il primo sarebbe scartato mentre il secondo consentirebbe di inserire commenti che contengono codice javascript.

Sembra infine che YouTube abbia bloccato la funzionalità di inserimento di nuovi commenti e abbia cancellato molti commenti che contenevano del codice inserito ma pare che la vulnerabilità non sia stata ancora risolta.

Non appena ci saranno altre notizie cercherò di pubblicarle.

----------------------------------------------------------------------------------------------
Intorno alle ore 20,30, The Next Web ha riportato che Google ha fornito loro la seguente risposta:


"Abbiamo preso una rapida azione per fissare una vulnerabilità di tipo cross-site scripting (XSS) su youtube.com che è stata scoperta diverse ore fa. I commenti sono stati temporaneamente nascosti per default nel giro di un'ora, e abbiamo rilasciato una correzione completa per il problema in circa due ore. Stiamo continuando a studiare la vulnerabilità per evitare problemi simili in futuro."

----------------------------------------------------------------------------------------------
Stopthehacker ha segnalato la pagina sulla quale sono state postate le prime segnalazioni e gli "script" utilizzati

http://www.google.com/support/forum/p/youtube/thread?tid=2059b45a2a699910&hl=en


Nessun commento:

Posta un commento

http://www.wikio.it