В «Живом Журнале» обнаружена уязвимость

Москва, 18 февраля. В программном механизме блог-сервиса LiveJournal обнаружена уязвимость, посредством которой спамеры могут осуществлять трансляцию своих сообщений.

Информация о слабом месте была обнаружена пользователем werdender, еще несколько дней назад. Уязвимость позволяет вставлять в записи скрипты, вызывающие появление так называемых всплывающих окон.
Разместить в «Живом журнале» код, выполняющий запуск окна осуществляется при помощи функции embed media, которая вызывается в форме создания новой записи.

Разработчик компании DataArt Александр Чистяков протестировал публикацию сторонних кодов через embed media. По его словам, с помощью этого инструмента обычно размещают видео и другой медиа-контент – чтобы запись шла неразрывно, но таким же способом можно «обернуть» и html с других ресурсов – что и сделал пользователь werdender.

Александр предполагает, что это «дыра» появилась несколько лет назад, наряду с возможностью вставлять в записи видео и аудиоконтент.
Злоумышленники, в частности, спамеры, могут использовать эту уязвимость, для размещения скриптов, вызывающих спамы, которые невозможно будет убрать.

Свиридов Вадим

Серия сообщений "Журналы,Книги,Очерки":
Часть 1 - журнальчики
Часть 2 - Интересные факты о питерском метро
Часть 3 - 20 фактов об игре «Мафия»
Часть 4 - В «Живом Журнале» обнаружена уязвимость
Часть 5 - Паоло Коэльо. Рождественская сказка
Часть 6 - Психология в блоггинге
...
Часть 16 - Странный случай заражения СПИДом
Часть 17 - Лысый мужчина – лучший любовник? Сказки!
Часть 18 - Письма об НТВ