Xss-haavoittuvuus avaa oven Facebook-madolle
16.6.2008 11:04 Facebookista on löytynyt vakava xss-haavoittuvuus, joka mahdollistaa selaimien joukkosaastuttamisen. Haavoittuvuuden löytänyt suomalainen tietoturva-asiantuntija Jouko Pynnönen ilmoitti asiasta Facebookille perjantaina.
120 miljoonaan kuukausittaiseen kävijään kasvanut Facebook tarjoaa käyttäjille mahdollisuutta tuoda omia sovellusohjelmia jaettavaksi toisille käyttäjille.
”Persistent cross side scripting”-haavoittuvuuden takia rosvosovellus pystyy asentamaan itsensä tartunnan saaneella sivulla vierailevan käyttäjän profiiliin.
Javascript-koodi ajetaan siis muiden käyttäjien selaimissa, kun he käyvät kyseisellä profiilisivulla. Tällaisella javascriptillä vihamielinen taho voi sivulla kävijöiden tahtomatta urkkia muun muassa henkilötiedot ja sähköpostiosoitteet ja lukea viestien sisällön.
Javascript-koodin voidaan myös muokata manipuloimaan kaverilistaa, lähettämään kutsuja tai viestejä kohdekäyttäjän nimissä, muokkaamaan käyttäjän profiileja ja asentamaan niihin sovelluksia.
Jouko Pynnösen mukaan yksi hyökkäystapa tälle olisi Facebook-mato eli virusmaisesti leviävä sovellus. Tartunta leviäisi kaikkiin, jotka vierailevat Facebook-käyttäjän saastuneella profiilisivulla.
– Tällainen leviäisi luultavasti päivässä tai parissa valtavaan määrään profiileita. Tartunnan nopeuttamiseksi se voisi lähettää kutsun profiilisivulleen kaikille kaverilistan henkilöille.
Nixu Oy:n tietoturva-asiantuntija Pekka Sillanpään mukaan xss-haavoittuvuuden pysyvä (persistent) muoto on lähes yhtä yleinen kuin enemmän julkisuutta saanut heijastuva muoto. Jälkimmäisen avulla sivuston alla pystytään näyttämään ulkopuolista aineistoa. Pysyvän xss-haavoittuvuuden hyväksikäyttöön riittää, että siirtyy haavoittuvalle sivulle normaalisti.
Sillanpää sanoo, että muun muassa tästä syystä verkkopankeissa kysytään tunnuslukuja vielä ennen maksusuoritusten hyväksymistä. Sillä varmistutaan että suorituksen on hyväksymässä valtuutettu henkilö.
– Molemmissa tapauksissa syy on sama, erikoismerkkejä ei suodateta käyttäjän antamasta syötteestä.
Xss-pohjaisia matoja on todettu jo useissa Web 2.0 sovelluksissa, esimerkiksi sellaisissa kuin Yahoo Yamanner, Samy ja Spaceflash.
– Näiden leviäminen voidaan kuitenkin estää tehokkaasti siinä vaiheessa kun ongelma huomataan, Sillanpää sanoo.
- Lue myösYlivuoto: Xss:n lyhyt oppimäärä
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Uusi iPad tulee maaliskuun alussa?
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Viisi vuotta sitten
Kuriiri kadotti 80 000:n potilastiedot
11.02.2007 Amerikkalaisen Johns Hopkins -organisaation 52 000 työntekijän ja 83 000 potilaan tiedot sisältäneet nauhat ovat kadonneet matkalla alihankkijalle, joka tekee nauhoista varmuuskopioita.
Kolme vuotta sitten
Intel investoi 7 miljardia
11.02.2009 Intel aikoo investoida seuraavan kahden vuoden kuluessa 7 miljardia dollaria tehtaisiinsa Yhdysvalloissa.
Taloussanomat
- Kilpailuta asuntolaina, voit säästää 3 300 euroa 06:01
- Osuusliike myy samppanjaa alle Alkon hintojen 06:06
- HS: SAK ei enää torju eläkeiän nostoa 10:13
- Skoda somisti Roomsterinsa partiopoikatyylillä 06:10
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- SK: Nokia ulkoisti lokakuussa – Accenture jakaa jo eropaketteja 20:59
- Suoraan Wall Streetiltä: "Olen nyt alfauros" 20:24
- Kreikan sopu järkkyi jo: Puoluepomo aikoo äänestää ei 16:22
- Raatoja tulee ravintola-alalla: "Dokaaminen meni muodista" 15:01
- Tämä sana joutui pannaan – Ollila haluaa sen takaisin 15:39
- » Taloussanomat.fi
Kommentit (1)
http://www.linuxfi.org/kasitteet/?huoneentaulu=tcb&