Fertőzött automatikus üzenetek a Facebook üzenőfalon
Újabb csúnya biztonsági baki a Facebooknál. Nem ez az első eset, hogy a fejlesztők nem jártak el elég körültekintően.
A Symantec hivatalos blogjában tegnap Candid Wueest hívta fel a figyelmet a Facebookkal kapcsolatosan egy akkor még foltozatlan biztonsági résre – írja az IT café – mely minden felhasználót veszélyeztethetett.
Az XSS- (cross-site scripting) -sebezhetőséget a Facebook mobilos API-jában fedezték fel, és egy trükkel arra használható fel, hogy a vétlen látogató üzenőfalára automatikusan, a felhasználó tudta nélkül lehessen üzenetet kiíratni, illetve a láthatatlanság miatt egyetlen kattintással tovább lehet terjeszteni a fertőzést. (Egy fertőzött weboldalra elhelyezett rosszindulatú iframe-ről van szó: ha az ide látogató felhasználó be van jelentkezve a Facebookra, elindul a folyamat. A módszer részletes leírása elolvasható a problémával foglalkozó hwsw-cikkben, a jól ismert kód pedig többek között ezen az oldalon is megtalálható.)
A Symantec informálta a hibáról a Facebookot, akik ma reggelre már befoltozták a rést.