Tuesday, May 11, 2010
Μια άλλη τρύπα ασφαλείας που βρίσκεται σε Yelp, στοιχεία Facebook άλλη μια φορά που τίθενται σε κίνδυνο
Με σταματήστε εάν αυτό ηχεί εξοικειωμένο. Χτες τη νύχτα, υποβάλαμε έκθεση σχετικά με μια ασφάλεια εκμεταλλευόμαστε ανακαλυμμένος από το σύμβουλο ασφαλείας George Deglin Ιστού που θα επέτρεπε σε μια κακόβουλη περιοχή για να συγκομίσει ήσυχα τον κατάλογο φίλων Facebook ενός χρήστη, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, και άλλα στοιχεία. Ο άθλος χρησιμοποίησε μια τεχνική αποκαλούμενη διαγώνια σεναριογραφία περιοχών (XSS) για να εγχύσει τον κακόβουλο κώδικα σε Yelp, και εκμεταλλεύτηκε το γεγονός ότι Yelp είναι ένας από τους συνεργάτες Facebook για το αμφισβητούμενο στιγμιαίο χαρακτηριστικό γνώρισμα εξατομίκευσής του για να συγκομίσει τα στοιχεία χρηστών Facebook. Η τρύπα ήταν γρήγορα επιδιορθωμένη, και κανένα στοιχείο χρηστών δεν συμβιβάστηκε. Απόψε, Deglin ανακάλυψε μια δεύτερη τρύπα σε Yelp ότι άλλη μια φορά επιτρεμμένος τον για να εγχύσει τον κακόβουλο κώδικα χρησιμοποιώντας XSS που θα μπορούσε να βάλει τα στοιχεία χρηστών Facebook σε κίνδυνο. Το Yelp έχει επιδιορθώσει τώρα αυτήν την δεύτερη τρύπα, και άλλη μια φορά η επιχείρηση θεωρεί ότι κανένα στοιχείο χρηστών δεν συμβιβάστηκε. Το Facebook έχει κλείσει τη στιγμιαία εξατομίκευση σε Yelp προς το παρόν δεδομένου ότι Yelp κοιτάζει για να εξασφαλίσει δεν υπάρχουν ότι άλλες ευπάθειες.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment