Informujemy, iż w celu optymalizacji treści dostępnych w naszym serwisie,
w celu dostosowania ich do indywidualnych potrzeb każdego użytkownika, jak również dla celów reklamowych i
statystycznych korzystamy z informacji zapisanych za pomocą plików cookies na urządzeniach
końcowych użytkowników. Pliki cookies użytkownik może kontrolować za pomocą ustawień swojej
przeglądarki internetowej. Dalsze korzystanie z naszych serwisów internetowych, bez zmiany ustawień
przeglądarki internetowej oznacza, iż użytkownik akceptuje politykę stosowania plików cookies
W ciągu niespełna tygodnia w znanym i dość popularnym komunikatorze Gadu-Gadu wykryto kilka poważnych błędów, które pozwalały wywołać zewnętrzny kod, wykraść dane z komputera ofiary a nawet zawiesić aplikację. Niestety jak się okazuje oprócz komunikatora Gadu-Gadu inne również znane komunikatory jak Tlen oraz WPKontakt posiadają błędy.
Komunikator Tlen oraz WPKontakt również podatne są na ten sam błąd, co Gadu-Gadu. Jak już wiadomo błąd pozwala na przesłanie do użytkownika dowolny łańcuch znaków który może być dowolnym adresem internetowym, a w nim może "ukrywać" się kod javascript bądź też odnośnik do pliku z kodem który ma wykonać się na komputerze ofiary.
W komunikatorze WPKontakt błąd objawiał się podczas wyświetlania adresów e-mail umożliwiający potencjalnemu atakującemu wykonanie kodu JavaScript przez wysłanie specjalnie spreparowanej wiadomości.
Przykładem takiej odpowiednio spreparowanej wiadomości może być:
test@"style="background-image:url(javascript:alert(%22You%20are%20owned!%22>))".wp.pl
Zarówno ostatnia wersja komunikator WPKontakt 3.0.1pl oraz komunikatora Tlen 5.23.4.2 posiadają stosowne poprawki zabezpieczające użytkownika przed tego typu atakiem, a więc osoby korzystające z ów komunikatorów powinny jak najszybciej zaopatrzyć się w aktualną wersję.
Hmm, Tlen juz dosyc dawno wypuscil nowa wersje z poprawkami aktywnego skryptowania, zreszta serwer rowniez nie przepuszcza takich komunikatow.
Tipros
- 28 December 2004, 11:13:58
Czy w przysz?o?ci te? b?dziecie podawa? przykladowe ci?gi znakw pozwalaj?ce na ?amanie prawa czym bez w?tpienia jest w?amywanie si? do czyjego? komputera oraz kradzie? poufnych danych ???
qwerty01
- 28 December 2004, 11:48:55
I co z tego? Ka?dy program ma bugi. Inaczej by niewychodzi?y nowe wersje. Jak kto? tak nieuwa?a, to niech poda soft, bez bugw. Nawet linux ma b??dy.
aRBi
- 28 December 2004, 12:06:13
@Tipros
owszem bedziemy podawac w przyszlosci tego typu informacje, tego typu teksty wcale nie sa karygodne jak mogloby sie wydawac.
Po pierwsze informacja ta nie jest zadna tajemnica, zostala opublikowana na wielu serwisach. Po drugie prasa ma prawo informowac w celu edukacji czy po prostu wolnosci wypowiedzi.
Pozatym moge Cie zapewnic ze zaden wlamywacz nie korzysta z informacji na temat bledow publikowanych od czasu do czasu na lamach CDRinfo.pl, od tego jest bugtraq :)
I tak jak mowi qwerty01, wszystko ma bledy i chyba lepiej wiedziec jak wyglada wrogi kod, niz powiedzmy za pare godzin przyjac/otworzyc/wykonac podobny skrypt u siebie...
Skubi
- 28 December 2004, 14:18:42
Ale macie zap?on z tym newsem:P
soulraver
- 28 December 2004, 14:57:21
najlepsze gadu gadu to EKG :) hehehe
Tipros
- 28 December 2004, 19:14:26
Chodzi mi o fakt, ?e potem milion domoros?ych "hakerw" b?dzie o testowa? i prbowa? itd ... oglnie takie rzeczy jak sama tre?c b??du prcz informacji o nim i ?wiadomo?ci, ?e zostaje usuni?ty powinny by? nie publikowane ...
undead
- 28 December 2004, 23:22:02
@Tipros zgadzam sie z toba bo masa domoros?ych "hakerw" bedzie prbowa? stosowa? gotowe exploity, i nazywac sie hakerami, tak przynajmniej wykluczy lamerw
aRBi
- 29 December 2004, 11:40:47
@Tipros i undead
ale po lawinie wykrytych bugow na poczatku roku znaczna wiekszosc spolitow to PoC'i, a one nie sa grozne dla nikogo w rekach chakerow. Nikt juz prawie nie publikuje ciekawszego kodu na bugtraqach, dlatego tez, ja osobiscie jestem spokojny o swoje bezpieczenstwo i profilaktycznie patchuje/upgradeuje wszystko na swoich kompach ...
deepone
- 29 December 2004, 16:46:17
@qwerty01 takie programy istniej?, s? one idealne i mo?na je tylko spotka? w wyobra?ni lub marzeniach programistw i u?ytkwnikw :D
z.aciek
- 29 December 2004, 21:51:35
jestem ciekaw jak to jest z konnektem.. ale w/w "test@"style="background-image:url(javascript:alert(%22You%20are%20owned!%22>))".wp.pl" nie wywala bledu wiec jest ok ;)
