В популярной в Рунете блог-платформе "Живой журнал" был выявлена серьезная
уязвимость.
Уязвимость позволяет вставлять в посты и ленты Livejournal.com любой
Javascript или HTML-код, предварительно скрыв его при помощи HTML-тегов style="display:none"
и lj-embed.
Использование данной уязвимости было продемонстрировано в блоге
werdender.livejournal.com. При посещении блога в любом из современных браузеров
пользователь видит шуточное сообщение, закрыть которое можно, только кликнув по
клавише "Ок".
"Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам
жизнь. Это окошко и является тому доказательством. Опасность заключается в том,
что не я, бусечка, а какой-нибудь злодей или член партии воров и жуликов могут
сделать так, что вы вообще не сможете убрать это окошко, соответственно вы не
сможете и читать ленточку. Так же уязвимость может использоваться различного
рода спамерами и теми самыми членами партии, которые могут коварно заставить вас
читать свою рекламу или предвыборную агитацию", - написал ЖЖ-пользователь
werdender.
Также он сообщил о том, что уязвимость открыта уже несколько дней, однако
компания Sup, которой принадлежит блог-сервис, пока не отреагировала на нее.
"Первый пост об этом висит несколько дней, но портал до сих пор открыт. Засим
прошу всех массово сообшить в СУП о том, что я самая что ни на есть настоящая
бусечка, мне одному они не верят", - написал пользователь в сообщении,
отправленном при помощи уязвимости.
По мнению директора по развитию продуктов SUP Ильи Дронова, "не совсем
корректно называть данную проблему уязвимостью", поскольку встраивание
javascript-кода не позволяет похищать данные и совершать другие неправомерные
действия. Однако, признает Дронов, это очередной способ использования
современных средств веб-разработки с целью причинения неприятностей другим
пользователям. "Эта проблема существует давно и меняется с развитием технологий,
но разработчики компании SUP в курсе и работают над ее устранением", - сообщил
он.
