CNews Аналитика Конференции Маркет Техника ТВ

Разделы

Безопасность Стратегия безопасности Интернет Веб-сервисы
|

В «Живом журнале» обнаружили критическую уязвимость

В популярной в Рунете блог-платформе «Живой журнал» был выявлена серьезная уязвимость.

Уязвимость позволяет вставлять в посты и ленты Livejournal.com любой Javascript или HTML-код, предварительно скрыв его при помощи HTML-тегов style="display:none" и lj-embed>.

Использование данной уязвимости было продемонстрировано в блоге werdender.livejournal.com. При посещении блога в любом из современных браузеров пользователь видит шуточное сообщение, закрыть которое можно, только кликнув по клавише «Ок».

«Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам жизнь. Это окошко и является тому доказательством. Опасность заключается в том, что не я, бусечка, а какой нибудь злодей или член партии воров и жуликов могут сделать так, что вы вообще не сможете убрать это окошко, соответственно вы не сможете и читать ленточку. Так же уязвимость может использоваться различного рода спамерами и теми самыми членами партии, которые могут коварно заставить вас читать свою рекламу или предвыборную агитацию», - написал ЖЖ-пользователь werdender.

Также он сообщил о том, что уязвимость открыта уже несколько дней, однако компания Sup, которой принадлежит блог-сервис, пока не отреагировала на нее. «Первый пост об этом висит несколько дней, но портал до сих пор открыт. Засим прошу всех массово сообшить в СУП о том, что я самая что ни на есть настоящая бусечка, мне одному они не верят», - написал пользователь в сообщении, отправленном при помощи уязвимости.

По мнению директора по развитию продуктов SUP Ильи Дронова, «не совсем корректно называть данную проблему уязвимостью», поскольку встраивание javascript-кода не позволяет похищать данные и совершать другие неправомерные действия. Однако, признает Дронов, это очередной способ использования современных средств веб-разработки с целью причинения неприятностей другим пользователям. «Эта проблема существует давно и меняется с развитием технологий, но разработчики компании SUP в курсе и работают над ее устранением», - сообщил он CNews.

Антон Труханов

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Как переехать в отечественный виртуальный офис без форс-мажоров

Путин поставил задачу добиться технологической независимости России

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях

ПСБ расширил возможности общения с нейросетью в чат-боте для бизнеса

Зачем рынку еще один интегратор? Спросили у новой компании

Власти хотят, чтобы в России соцсети и форумы передавали силовикам вместе с IP-адресом и номер порта пользователя

MARKET.CNEWS

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

Техника

Как заряжать гаджеты в 2024 году

Обзор фитнес-браслета Huawei Band 9: легкий и умный

Обзор HUAWEI nova 12 SE: доступный камерофон

Показать еще

Наука

Ликбез RnD.CNews: сколько воды содержится в земной коре

Найдена самая тяжелая пара черных дыр во Вселенной — они так велики, что не могут столкнуться и соединиться

Стеклянные сферы, выпавшие в виде осадков в Хиросиме, схожи по составу с ранней Солнечной системой, а не с Землей
Показать еще
True Tech Day 2024 True Tech Day 2024