Nieuws
image

Google patcht ernstig YouTube-lek

maandag 5 juli 2010, 11:23 door Redactie, 6 reacties

Google heeft een ernstig Cross-Site Scripting-lek op YouTube gedicht waardoor aanvallers toegang tot cookies en inloggegevens van Gmail en YouTube accounts konden krijgen en de mogelijkheid hadden om JavaScript uit te voeren. De kwaadaardige code werd geplaatst tussen de reacties van gebruikers. Een uur na ontdekking van het probleem werden alle reacties tijdelijk uitgezet en na twee uur was er een oplossing, zo laat een woordvoerder van Google weten.

Naast het stelen van cookie zouden aanvallers ook JavaScript code in de browser binnen de context van YouTube kunnen uitvoeren. "Ik heb vervelende XSS-aanvallen gezien die complete inlogschermen vervalsten en we weten hoeveel mensen hetzelfde wachtwoord voor meerdere accounts gebruiken", zegt Bojan Zdrnja van het Internet Storm Center.

Pornosites
De aanval op YouTube was voornamelijk gericht tegen fans van popster Justin Bieber. De aanvalscode op werd geplaatst op YouTube pagina's van Bieber en toonde bezoekers allerlei boodschappen en stuurde ze door naar pornosites. Volgens sommige berichten was de aanval het werk van interfora Ebaumsworld of 4chan.

Reacties (6)
05-07-2010, 12:03 door [Account Verwijderd]
[Verwijderd]
05-07-2010, 15:47 door Anoniem
Door joey van hummel: het vreemde aan deze aanval was dat in de comments < en > altijd vervangen worden door hun html entities. Maar zodra men <script>IF_HTML_FUNCTION? gebruikte gebeurde dat niet meer. Waardoor zoiets zou komen vraag ik me nog steeds af.

Ik las op Tweakers dat het probleem niet IF_HTML_FUNCTION? was maar het gebruik van 2x <script> achter elkaar.
05-07-2010, 16:39 door Anoniem
Door Anoniem:
Door joey van hummel: het vreemde aan deze aanval was dat in de comments < en > altijd vervangen worden door hun html entities. Maar zodra men <script>IF_HTML_FUNCTION? gebruikte gebeurde dat niet meer. Waardoor zoiets zou komen vraag ik me nog steeds af.

Ik las op Tweakers dat het probleem niet IF_HTML_FUNCTION? was maar het gebruik van 2x <script> achter elkaar.

Dat klopt! De eerste keer wordt het omgezet ( <script> ) Maar de tweede keer helaas niet. En alles wat daarachter staat wordt gewoon als code uitgevoert.
05-07-2010, 17:21 door Acces Denied
Ja twee HTML tags en daarvan werd er 1 geblokkeerd en de andere zag Youtube niet zoiets.
05-07-2010, 19:29 door [Account Verwijderd]
[Verwijderd]
07-07-2010, 11:42 door Anoniem
http://htmlpurifier.org/
Blokkeert (bijna) alles wat je niet wilt, en laat dingen door die wel kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure