В «Живом журнале» обнаружили критическую уязвимость

17/02/2011 17:50

В популярной блог-платформе «Живой журнал» был выявлена опасная уязвимость, которая позволяет вставлять в сообщения Livejournal.com любой JavaScript или HTML-код, внедряемый при помощи скрытого iframe через ошибки в обработке внтуреннего ЖЖ-тега "<lj-embed>". Использование данной уязвимости было продемонстрировано в блоге werdender.livejournal.com. При посещении блога в любом из современных браузеров пользователь видит шуточное сообщение, закрыть которое можно, только кликнув по клавише «Ок». «Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам жизнь. Это окошко и является тому доказательством. Опасность заключается в том, что не я, бусечка, а какой нибудь злодей или член партии воров и жуликов могут сделать так, что вы вообще не сможете убрать это окошко, соответственно вы не сможете и читать ленточку. Так же уязвимость может использоваться различного рода спамерами и теми самыми членами партии, которые могут коварно заставить вас читать свою рекламу или предвыборную агитацию», - написал ЖЖ-пользователь werdender. Также он сообщил о том, что уязвимость открыта уже несколько дней, однако компания Sup, которой принадлежит блог-сервис, пока не отреагировала на нее. «Первый пост об этом висит несколько дней, но портал до сих пор открыт. Засим прошу всех массово сообшить в СУП о том, что я самая что ни на есть настоящая бусечка, мне одному они не верят», - написал пользователь в сообщении, сформированном при помощи обнаруженной уязвимости.
Источник