Поделиться
В программном механизме блог-сервиса LiveJournal.com обнаружилась уязвимость, которую могут использовать в зловредных и корыстных целях спамеры и просто интернет-шутники.
"Дыра", обнаруженная, по свидетельству ЖЖ-пользователя werdender, еще несколько дней назад, позволяет вставлять в дневниковые записи скрипты, вызывающие появление так называемых всплывающих окон (pop-up). Разместить в "Живом журнале" код, выполняющий запуск окна без каких-либо действий со стороны, можно при помощи опции embed media, которая вызывается в форме создания новой записи.
По просьбе издания "Вебпланета" разработчик компании DataArt Александр Чистяков протестировал публикацию сторонних кодов через embed media. По его словам, с помощью этого инструмента обычно постят видео и другой медиа-контент, чтобы запись шла неразрывно, но таким же способом можно "обернуть" и html с других ресурсов. Также Александр Чистяков предполагает, что уязвимость появилась тогда, когда в ЖЖ открыли возможность встраивать в записи видео и аудиоконтент, то есть несколько лет назад.
Злоумышленники, в частности, спамеры, используя вновь обнаруженную возможность, смогут вставлять в дневники скрипты, вызывающие окна, которые вообще нельзя убрать, считает пользователь werdender.