В популярной в Рунете блог-платформе «Живой журнал» был выявлена серьезная уязвимость.
Уязвимость
позволяет вставлять в посты и ленты Livejournal.com любой Javascript
или HTML-код, предварительно скрыв его при помощи HTML-тегов
style="display:none" и lj-embed>.
Использование данной
уязвимости было продемонстрировано в блоге werdender.livejournal.com.
При посещении блога в любом из современных браузеров пользователь видит
шуточное сообщение, закрыть которое можно, только кликнув по клавише
«Ок».
«Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая
сильно осложнить вам жизнь. Это окошко и является тому доказательством.
Опасность заключается в том, что не я, бусечка, а какой нибудь злодей
или член партии воров и жуликов могут сделать так, что вы вообще не
сможете убрать это окошко, соответственно вы не сможете и читать
ленточку. Так же уязвимость может использоваться различного рода
спамерами и теми самыми членами партии, которые могут коварно заставить
вас читать свою рекламу или предвыборную агитацию», - написал
ЖЖ-пользователь werdender.
Также он сообщил о том, что уязвимость
открыта уже несколько дней, однако компания Sup, которой принадлежит
блог-сервис, пока не отреагировала на нее. «Первый пост об этом висит
несколько дней, но портал до сих пор открыт. Засим прошу всех массово
сообшить в СУП о том, что я самая что ни на есть настоящая бусечка, мне
одному они не верят», - написал пользователь в сообщении, отправленном
при помощи уязвимости.
По мнению директора по развитию продуктов
SUP Ильи Дронова, «не совсем корректно называть данную проблему
уязвимостью», поскольку встраивание javascript-кода не позволяет
похищать данные и совершать другие неправомерные действия. Однако,
признает Дронов, это очередной способ использования современных средств
веб-разработки с целью причинения неприятностей другим пользователям.
«Эта проблема существует давно и меняется с развитием технологий, но
разработчики компании SUP в курсе и работают над ее устранением», -
сообщил он CNews.