Zero
Randy Westergren
Annunci di espandere su una pagina web per mostrare una più ampia banner o video, i contenitori possono essere abusato come punti di ingresso per altri hack, secondo una nuova ricerca pubblicata questa settimana da Randy Westergren, Delaware a base di ricercatore di sicurezza.
Il ricercatore dice che ha identificato diverse vulnerabilità in iframe busters-il nome dato al file che i siti web di ospitare sui loro server per il supporto “espanso” annunci.”
Pubblicità aziende forniscono questi iframe busters per i proprietari del sito che si desidera visualizzare gli annunci della rete pubblicitaria del portafoglio. Questi script sono unici per ogni azienda di pubblicità, ma funzionano allo stesso modo, mediante l’esecuzione di codice JavaScript che bypassa il browser SOP (same-Origin Policy) funzione di sicurezza per consentire l’annuncio di rompere con la sua fissa del contenitore e di apportare modifiche alla pagina corrente e di espandere la propria area di visualizzazione.
Anche: Brutto pezzo di codice CSS si blocca e si riavvia l’iphone
Westergren dice che molti di questi buster iframe script sono esposti alla vulnerabilità di cross-site request (XSS) vulnerabilità che consentono a un utente malintenzionato di sfruttare l’iframe buster file ospitato su un server del sito di eseguire codice JavaScript malevolo su quel sito.
I danni causati da questi attacchi dipende dall’aggressore la possibilità di mestiere il codice dannoso, ma è generalmente considerato che un utente malintenzionato in grado di eseguire il codice JavaScript in un sito remoto può tecnicamente rubare le informazioni dell’utente in relazione al sito, se non di più.
Il ricercatore dice che ha identificato vulnerabilità XSS in più di buster iframe script che, fino a poco tempo fa, Google ha fornito per il download come parte di un multi-vendor iFrame Buster kit, offerti tramite DoubleClick AdExchange documentazione del sito.
Westergren dettagliate quattro esempi sul suo blog, a dimostrazione di come un utente malintenzionato potrebbe eseguire codice dannoso in qualsiasi sito che usa un iframe busters dalle reti pubblicitarie come Adform, Eyeblaster (Aggiungere in un Occhio), Adtech, e Jivox.
Inoltre: supporto tecnico truffatori trovare una casa su Microsoft TechNet pagine
Il ricercatore dice di notifica di Google dei problemi con il buster iframe script parte della società iFrame Buster kit, e i tecnici di Google rimosso quegli script all’interno di due settimane, a gennaio di quest’anno.
Nel frattempo, Google ha smesso di offrire il kit per scaricare del tutto, ma alcuni di questi buster iframe script sono vulnerabili se scaricato da altre fonti.
Gli utenti che desiderano rimanere al sicuro si consiglia di utilizzare un ad blocker, come la maggior parte di annunci bloccanti bloccano invadenti annunci che il roll-out e coprono una vasta area della pagina.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0