DiepNV88
VIP Members
-
24/09/2013
-
369
-
1.552 bài viết
Phát hiện lỗ hổng XSS trên Yahoo Toolbar
Yahoo cung cấp một thanh công cụ trên trình duyệt web bao gồm các ứng dụng cho các trang web hàng đầu như Facebook, Yahoo! Mail. Yahoo Toolbar còn được gọi là Y! Thanh công cụ có sẵn cho Internet Explorer, Firefox và trình duyệt web Google Chrome.
Yahoo Toolbar là một trong những add-on/extension phổ biến nhất và được cài đặt rộng rãi trên trình duyệt web. Nhiều phần mềm phổ biến như Java và hàng ngàn phần mềm miễn phí bao gồm cả một số sản phẩm Antivirus kèm theo thanh công cụ Yahoo.
Một lỗ hổng đã được phát hiện trong Yahoo Toolbar bởi nhà nghiên cứu bảo mật Behrouz SAdeghipour, gây ra trang web qua kịch bản lỗ hổng trên các trang web phổ biến như Flickr, Yahoo, Google, Pinterest, Youtube, Amazon, Twitter và nhiều website khác.
Một số hình minh họa khai thác lỗ hổng XSS trên Yahoo toolbar :
Yahoo Toolbar cũng đã được xây dựng trong các thuật toán để ngăn chặn pop-up và phần mềm gián điệp, nhưng bây giờ lỗ hổng của nó có thể được sử dụng để khai thác : chuyển hường, lây nhiễm hoặc ăn cắp cookie người dùng truy cập bất cứ website nào qua con đường tấn công Scripting.
"Bất kỳ cách thức sử dụng thanh công cụ Y! Yahoo của người dùng, Google, Youtube, và các dịch vụ khác bị tấn công bằng cách truy cập những trang web có chứa một vector XSS. Vì đây là những trang web có uy tín nên người dùng không nghi ngờ, nó khiến kẻ tấn công dễ chiếm quyền điều khiển tài khoản người dùng. "Behrouz nói.
Behrouz SAdeghipour đã báo cáo lỗ hổng để các chuyên gia Yahoo vá, bản vá đã được cập nhật trong phiên bản mới.
Yahoo Toolbar là một trong những add-on/extension phổ biến nhất và được cài đặt rộng rãi trên trình duyệt web. Nhiều phần mềm phổ biến như Java và hàng ngàn phần mềm miễn phí bao gồm cả một số sản phẩm Antivirus kèm theo thanh công cụ Yahoo.
Một lỗ hổng đã được phát hiện trong Yahoo Toolbar bởi nhà nghiên cứu bảo mật Behrouz SAdeghipour, gây ra trang web qua kịch bản lỗ hổng trên các trang web phổ biến như Flickr, Yahoo, Google, Pinterest, Youtube, Amazon, Twitter và nhiều website khác.
Một số hình minh họa khai thác lỗ hổng XSS trên Yahoo toolbar :
Yahoo Toolbar cũng đã được xây dựng trong các thuật toán để ngăn chặn pop-up và phần mềm gián điệp, nhưng bây giờ lỗ hổng của nó có thể được sử dụng để khai thác : chuyển hường, lây nhiễm hoặc ăn cắp cookie người dùng truy cập bất cứ website nào qua con đường tấn công Scripting.
"Bất kỳ cách thức sử dụng thanh công cụ Y! Yahoo của người dùng, Google, Youtube, và các dịch vụ khác bị tấn công bằng cách truy cập những trang web có chứa một vector XSS. Vì đây là những trang web có uy tín nên người dùng không nghi ngờ, nó khiến kẻ tấn công dễ chiếm quyền điều khiển tài khoản người dùng. "Behrouz nói.
Behrouz SAdeghipour đã báo cáo lỗ hổng để các chuyên gia Yahoo vá, bản vá đã được cập nhật trong phiên bản mới.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: