Noll
Randy Westergren
Annonser att expandera på en webbsida för att visa en större banner eller video behållare kan missbrukas som inkörsportar till andra hackers, enligt ny forskning som publiceras denna vecka av Randy Westergren, ett Delaware-baserad säkerhet forskare.
Forskaren säger att han upptäckte flera sårbarheter i iframe-busters –namnet på filer som webbplatser vara värd på deras server för att stödja “expanded annonser.”
Reklam företag tillhandahåller dessa iframe busters för webbplatsägare som vill visa annonser från annonsnätverk s portfölj. Dessa skript är unika för varje ad company, men de fungerar på samma sätt, genom att köra JavaScript-kod som går förbi webbläsaren är SOP (Samma Ursprung Politik) säkerhetsfunktion för att låta annonsen för att bryta sin fasta behållare och göra ändringar till den aktuella sidan och utöka sitt visas i displayen.
Också: Otäck del av CSS-kod kraschar och startar om iphone
Westergren berättar att många av dessa iframe buster skript är utsatta för cross-site request (XSS) som tillåter en angripare att utnyttja iframe buster fil som lagras på en webbplats server för att köra skadlig JavaScript-kod på webbplatsen.
Skador som orsakats av dessa attacker beror på angriparens förmåga att skapa den skadliga koden, men det är i allmänhet anses som en angripare som kan köra JavaScript-kod på en avlägsen plats tekniskt kan stjäla användarens information i hänsynen till den plats, om inte mer.
Forskaren säger att han identifierade XSS sårbarheter i de flesta iframe buster skript som tills nyligen Google har gett för nedladdning som en del av en multi-vendor iFrame Buster kit, som erbjuds via DoubleClick AdExchange dokumentation webbplats.
Westergren detaljerad fyra exempel på sin blogg, som visar hur en angripare som kan köra skadlig kod på en webbplats som använder iframe-busters från annonsnätverk som Adform, Eyeblaster (Lägg till i Ögat), Adtech, och Jivox.
Också: Teknisk support bedragare hitta ett hem på Microsoft TechNet-sidor
Forskaren säger att han anmält Google av problem med iframe-buster skript del av bolagets iFrame Buster kit, och Google ingenjörer bort dessa skript inom två veckor, men redan i januari i år.
Under tiden, Google har slutat som erbjuder kit för att ladda ner helt och hållet, men vissa av dessa iframe buster manus är fortfarande sårbar om hämtats från andra källor.
Användare som vill fortsätta att vara säker rekommenderas att använda en annons blockerare, som de flesta ad blockerare kommer att blockera störande annonser som kavla ut och täcka ett stort område på sidan.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0