Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng YouTube cho phép sao chép bình luận dưới các video
Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng trên YouTube, cho phép sao chép bình luận (comment) của video này sang video khác. Chủ sở hữu YouTube - Google sau khi nhận được thông báo đã đưa ra bản vá cho lỗ hổng trên trang web chia sẻ video khổng lồ này.
Trong thông báo gửi tới Google, chuyên gia Ahmed Aboul-Ela - người phát hiện lỗ hổng cho biết ông đã can thiệp truy vấn http gửi tới Google khi có một bình luận về video. Truy vấn này chứa hai thông số: “comment_id” và “video_id”.
Khi video_id bị thay đổi sang thông số khác sẽ trả về thông báo lỗi, tuy nhiên YouTube chấp nhận thay đổi số content_id cho một video khác. Điều này cho phép sao chép bình luận từ video này sang video khác.
“Bình luận từ video gốc không bị mất đi và tác giả của bình luận đó không được thông báo về việc bình luận của mình bị sao chép sang một video khác”, Ahmed Aboul-Ela cho biết.
Lỗ hổng có thể đã được khai thác vào nhiều mục đích như khiến một video có vẻ như nổi tiếng hơn thực tế của nó hoặc làm sai lệch thông qua sao chép một bình luận của nhân vật của công chúng hoặc người nổi tiếng dưới video.
Google đã vá lỗ hổng trong tuần sau khi được thông báo và trả cho người phát hiện lỗ hổng 3133,7 đô la Mỹ.
Trong thông báo gửi tới Google, chuyên gia Ahmed Aboul-Ela - người phát hiện lỗ hổng cho biết ông đã can thiệp truy vấn http gửi tới Google khi có một bình luận về video. Truy vấn này chứa hai thông số: “comment_id” và “video_id”.
Khi video_id bị thay đổi sang thông số khác sẽ trả về thông báo lỗi, tuy nhiên YouTube chấp nhận thay đổi số content_id cho một video khác. Điều này cho phép sao chép bình luận từ video này sang video khác.
“Bình luận từ video gốc không bị mất đi và tác giả của bình luận đó không được thông báo về việc bình luận của mình bị sao chép sang một video khác”, Ahmed Aboul-Ela cho biết.
Lỗ hổng có thể đã được khai thác vào nhiều mục đích như khiến một video có vẻ như nổi tiếng hơn thực tế của nó hoặc làm sai lệch thông qua sao chép một bình luận của nhân vật của công chúng hoặc người nổi tiếng dưới video.
Google đã vá lỗ hổng trong tuần sau khi được thông báo và trả cho người phát hiện lỗ hổng 3133,7 đô la Mỹ.
Nguồn: PCWorld