Nul
Randy Westergren
Advertenties die uit te breiden op een web pagina met een grotere banner of video containers kan misbruikt worden als ingangen voor andere hacks, volgens nieuw onderzoek gepubliceerd deze week door Randy Westergren, een Delaware-based security-onderzoeker.
De onderzoeker zegt dat hij verschillende kwetsbaarheden geïdentificeerd in iframe-busters –de naam van de bestanden die door websites worden gehost op hun server te ondersteunen “uitgebreid advertenties.”
Reclame bedrijven bieden deze iframe busters voor site-eigenaren die willen om advertenties weer te geven van de advertentie netwerk van de portefeuille. Deze scripts zijn uniek voor elke advertentie bedrijf, maar ze werken op dezelfde manier, door het uitvoeren van JavaScript-code wordt de browser SOP (Dezelfde Oorsprong Beleid) beveiligingsvoorzieningen om de advertentie om uit te breken van haar vaste container en maak de wijzigingen van de huidige pagina en de uitbreiding van haar beeldscherm.
Ook: Nare stukje CSS code crasht en wordt opnieuw opgestart iPhones
Westergren zegt dat veel van deze iframe buster scripts zijn kwetsbaar voor cross-site request (XSS) kwetsbaarheden die een aanvaller om te profiteren van de iframe-buster bestand dat wordt gehost op een server van die site om kwaadaardige JavaScript-code op die site.
De schade veroorzaakt door deze aanvallen is afhankelijk van de aanvaller de mogelijkheid om vaartuigen van de kwaadaardige code, maar het is over het algemeen van mening dat een aanvaller die kan JavaScript-code uitvoeren op een externe site kan technisch stelen van de gegevens van de gebruiker met betrekking tot die site, als het niet meer is.
De onderzoeker zegt dat hij geïdentificeerd XSS kwetsbaarheden in de meeste van de iframe-buster scripts die tot voor kort Google is het verstrekken van voor download als onderdeel van een multi-vendor iFrame Buster kit, aangeboden door de DoubleClick AdExchange documentation site.
Westergren gedetailleerde vier voorbeelden op zijn blog, om te tonen hoe een aanvaller kwaadaardige code uitvoeren op een site die gebruik maken van iframe-busters van advertentie netwerken zoals Adform, Eyeblaster (Toevoegen in het Oog), Adtech, en Jivox.
Ook: de Technische support van oplichters om een huis te vinden op Microsoft TechNet-pagina ‘ s
De onderzoeker zegt dat hij aangemelde Google van de problemen met de iframe-buster scripts onderdeel van het iFrame Buster kit, en de technici van Google verwijderd van de scripts binnen twee weken, terug in januari van dit jaar.
In de tussentijd heeft Google gestopt met het aanbieden van de kit voor het downloaden helemaal, maar sommige van deze iframe buster scripts zijn nog steeds kwetsbaar als die gedownload zijn van andere bronnen.
Gebruikers die willen blijven veilig worden geadviseerd gebruik te maken van een ad blocker, zoals de meeste advertentie-blokkers blokkeren opdringerige advertenties die uitrollen en bedekken een groot gebied van de pagina.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0