Luki na stronach gigantów IT?

Na stronach trzech znanych firm, specjalizujących się w bezpieczeństwie IT znajdują się błędy typu XSS (cross-site scripting), pozwalające na przeprowadzanie różnych typów ataków na osoby odwiedzające te witryny - poinformowała firma XSSed.

Firmy wymienione w opublikowanym właśnie raporcie XSSed to McAfee, Symantec oraz VeriSign - zdaniem autorów opracowania, na ich witrynach internetowych znaleźć można aktualnie w sumie ok. 30 błędów typu XSS. Luki te mogą zostać wykorzystane m.in. do osadzenia na witrynach złośliwego oprogramowania lub oszukiwania osób odwiedzających strony. Przedstawiciele XSSed podkreślają, że publikując te dane chcieli zwrócić uwagę na to, jak powszechne są błędy typu cross-site scripting i że nawet największe firmy zajmujące się bezpieczeństwem nie potrafią się w 100% przed nimi zabezpieczyć.

Warto przypomnieć, że ta sama firma kilka miesięcy temu wykryła, iż na 60 stronach, które uzyskały wydawany przez McAfee certyfikat "Haker Safe" (mający potwierdzać, że są one w pełni bezpieczne) również znajdują się błędy XSS. Przedstawiciele McAfee tłumaczyli wtedy, że luki XSS owszem, stanowią zagrożenie, jednak zdecydowanie mniejsze niż inne błędy, pozwalające np. na uruchomienie złośliwego kodu czy przejęcie poufnych danych.

W ostatnich miesiącach nastąpiła jednak prawdziwa eksplozja popularności tego typu luk - przestępcy bardzo często wykorzystują je do osadzania na stronach WWW szkodliwego oprogramowania, które następnie infekuje system internauty odwiedzającego daną stronę. Dzięki temu autorzy wirusów mają możliwość wykorzystywania legalnych stron do dystrybuowania swoich produktów - ten trend potwierdza firma ScanSafe, która informowała niedawno, że obecnie ok. 68% złośliwych programów rozpowszechnianych za pośrednictwem stron WWW osadzone jest na legalnych stronach (to o 400% więcej niż rok temu).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200