WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Google cảnh báo khách hàng DoubleClick về lỗ hổng XSS
Google đã cảnh báo các khách hàng của DoubleClick về việc một số file do bên thứ ba cung cấp thông qua nền tảng quảng cáo của hãng có thể bị khai thác thông qua các lỗ hổng XSS (cross-site scripting).
Google đã công bố danh sách hơn mười công ty quảng cáo có các file đứng trước nguy cơ bị tấn công XSS. Hãng đã khuyến cáo chủ các trang web và quản trị viên kiểm tra máy chủ của mình có các file này hay không – chúng thường được lưu trữ trên tên miền gốc – nếu có, phải xóa chúng đi.
Theo Google, hãng đã chặn các nhà cung cấp có file nêu trên tới tất cả các khách hàng DoubleClick for Publishers và DoubleClick Ad Exchange. Tuy nhiên, bất kỳ file nào còn được lưu trữ trên trang web của người dùng vẫn có thể gây nguy cơ và cần được gỡ xuống. Hãng cũng cho biết sẽ thông báo tới khách hàng khi có thêm thông tin.
Các dịch vụ quảng cáo của Google là DoubleClick for Publishers (DFP) và DoubleClick Ad Exchange cho phép khách hàng hiển thị quảng cáo bên ngoài một frame, khung nội tuyến được sử dụng để nhúng nội dung trong trang HTML. Để mở rộng quảng cáo bên ngoài khung nội tuyến, Google và các công ty quảng cáo bên thứ ba hiện đưa ra bộ "iframe buster kit", bao gồm nhiều file HTML và JavaScript cần phải lưu trữ trên tên miền của khách hàng.
Một số file chứa các lỗ hổng XSS cho phép kẻ tấn công thực thu mã JavaScript tùy ý trong trình duyệt của người dùng bằng cách lừa nạn nhân click vào một liên kết đặc biệt.
Vấn đề này được phát hiện vào đầu tuần này bởi một nhà nghiên cứu đã sử dụng các moniker trực tuyến là "Zmx" và "Tr4L". Chuyên gia này là nhân viên của IDM, công ty sử dụng bộ khung nội tuyến có vấn đề, nên đã phát hiện được lỗ hổng trên.
Video nghiên cứu nguyên lý (PoC) được cung cấp bởi Zmx cho thấy cách thức khai thác lỗi XSS:
https://www.jobisjob.ch/predicta/predicta_bf.html?dm=bgtian.life
Theo Google, hãng đã chặn các nhà cung cấp có file nêu trên tới tất cả các khách hàng DoubleClick for Publishers và DoubleClick Ad Exchange. Tuy nhiên, bất kỳ file nào còn được lưu trữ trên trang web của người dùng vẫn có thể gây nguy cơ và cần được gỡ xuống. Hãng cũng cho biết sẽ thông báo tới khách hàng khi có thêm thông tin.
Các dịch vụ quảng cáo của Google là DoubleClick for Publishers (DFP) và DoubleClick Ad Exchange cho phép khách hàng hiển thị quảng cáo bên ngoài một frame, khung nội tuyến được sử dụng để nhúng nội dung trong trang HTML. Để mở rộng quảng cáo bên ngoài khung nội tuyến, Google và các công ty quảng cáo bên thứ ba hiện đưa ra bộ "iframe buster kit", bao gồm nhiều file HTML và JavaScript cần phải lưu trữ trên tên miền của khách hàng.
Một số file chứa các lỗ hổng XSS cho phép kẻ tấn công thực thu mã JavaScript tùy ý trong trình duyệt của người dùng bằng cách lừa nạn nhân click vào một liên kết đặc biệt.
Vấn đề này được phát hiện vào đầu tuần này bởi một nhà nghiên cứu đã sử dụng các moniker trực tuyến là "Zmx" và "Tr4L". Chuyên gia này là nhân viên của IDM, công ty sử dụng bộ khung nội tuyến có vấn đề, nên đã phát hiện được lỗ hổng trên.
Video nghiên cứu nguyên lý (PoC) được cung cấp bởi Zmx cho thấy cách thức khai thác lỗi XSS:
https://www.jobisjob.ch/predicta/predicta_bf.html?dm=bgtian.life
Theo Securityweek