Nul
Randy Westergren
Annoncer, der går på en webside for at vise et større banner eller video beholdere kan blive misbrugt som en indgang til andre hacks, ifølge ny forskning offentliggjort i denne uge af Randy Westergren, a Delaware-baseret sikkerhed forsker.
Forskeren siger, at han har identificeret en række svagheder i iframe busters –navnet på de filer, der hjemmesider, vært på deres server til at støtte “udvidet annoncer.”
Reklame selskaber, der leverer disse iframe busters til hjemmeside ejere, der ønsker at vise annoncer fra annoncenetværk ‘ s portefølje. Disse scripts er unikke for hver enkelt virksomhed, men de fungerer på samme måde, ved at køre JavaScript-kode, der omgår browser SOP (Samme ophav-reglen) sikkerhedsfunktion for at tillade den ad for at bryde ud af sine faste beholder og foretage ændringer til de aktuelle side og udvide sin displayet.
Også: Grim stykke CSS kode, går ned og genstarter iPhones
Westergren siger, at mange af disse iframe buster scripts er sårbare over for forespørgsler på tværs af websteder (XSS) sårbarheder, at gøre det muligt for en hacker at drage fordel af den iframe, buster-fil, der er hostet på et websted ‘ s server, til at køre skadelig kode på det pågældende websted.
Skader forårsaget af disse angreb afhænger af angriberens evne til at udforme den ondsindede kode, men det er generelt opfattelsen, at en angriber, der kan køre JavaScript-kode på en ekstern hjemmeside kan teknisk stjæle brugerens oplysninger i forhold til, at ejendommen, hvis ikke mere.
Forskeren siger, at han identificeret XSS sårbarheder i de fleste af de iframe buster scripts, der indtil for nylig Google har ydet for download som en del af en multi-vendor iFrame Buster kit, der tilbydes via DoubleClick AdExchange dokumentation site.
Westergren detaljeret fire eksempler på hans blog, der viser, hvordan en hacker kunne køre skadelig kode på ethvert websted, der bruger iframe busters fra annoncenetværk, som Adform, Eyeblaster (Tilføj i Øjet), Adtech, og Jivox.
Også: Tech support svindlere finde et hjem på Microsoft TechNet-sider
Forskeren siger, at han meddelt Google af problemer med iframe buster scripts en del af virksomhedens iFrame Buster kit, og Google ingeniører fjernet disse scripts inden for to uger, tilbage i januar i år.
I mellemtiden har Google stoppede tilbyde kit til download helt, men nogle af disse iframe buster scripts er stadig sårbare, hvis hentet fra andre kilder.
Brugere, der ønsker at være på den sikre side, anbefales du at bruge en ad blocker, som de fleste ad blokkere kan blokere for påtrængende annoncer, der ruller ud og dække et stort område af siden.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0