Эксплойт для флэша в ЖЖ
"В связи с обнаружением критической уязвимости при размещении медиа-роликов через lj-toys, сегодня утром эта возможность была временно заблокирована.
В настоящий момент вставка медиа-роликов доступна только с двух сайтов:
http://www.youtube.com/
http://video.rutube.ru/"
http://community.livejournal.com/lj_ru_support/569063.html
А в записи http://news.livejournal.com/117957.html раскрываются подробности насчёт того, как действовал эксплойт (на английском), и они, честно говоря, немного пугают. Скоро, наверное, появится официальный перевод, но переведу ключевую часть:
"Как распространялся эксплойт:
- Просмотр записи с заражённым медиа-контентом приводил к модификации последней записи аккаунта, с которого происходил просмотр, при помощи скрипта, который добавлял вредоносный код к этой записи.
Что делал этот эксплойт:
- Когда залогиненный пользователь просматривал заражённый пост, флэш-контент делал cross-domain запрос к livejournal.com
- Последний пост затем редактировался с целью добавления флэш-файлов, и все настройки сбрасывались на дефолтные (дефолтный юзерпик, нет настроения, и настройка доступа к записи менялась на дефолтную для журнала, например)
- Затем файл записывал e-mail адрес, указанный на странице "Изменить профиль" - то есть, он записывал e-mail адрес независимо от настроек приватности
- Пока эксплойт был активен (по нашим сведениям на настоящий момент, это продолжалось 1-2 часа), зараженные посты, которые редактировались владельцами журналов с целью привести их к первоначальному состоянию, возвращались обратно к заражённому состоянию (без возможности редактирования/изменения)
Чего *не делал* этот эксплойт:
- Он не воровал никаких паролей, не манипулировал или "воровал" login cookies и не записывал никакой информации кроме e-mail адреса
- Он был деактивирован в 8:50 p.m. PDT (22 сентября)/3:50 a.m. GMT/UTC (23 сентября), когда инженеры Livejournal отключили возможность вставки медиа-контента (такого как видео файлы) с целью прекратить распространение эксплойта
- Он не инфицировал компьютер и не наносил ему какой-либо ущерб
Как определить зараженную запись/аккаунт:
- У зараженных аккаунтов есть свежая запись со следующими четырьмя квадратиками внизу:
- Это будет одна из самых свежих записей журнала и/или самая верхняя запись (если это верхний пост задней датой)
- Если нет ни одной записи с указанной модификацией, значит, этот аккаунт не был заражён.
После исследования найденного Javascript кода, по нашему мнению, существуют две угрозы безопасности, потенциально возможных для заражённых журналов:
- В одной или более из наиболее свежих записей в журнале настройки доступа могут быть удалены; следовательно, пост с настройками доступа "друзья" или "только мне" может стать публичным, если дефолтный уровень доступа для журнала установлен как "для всех (общедоступный)"
- E-mail адрес (скрытый или нет), связанный с аккаунтом, может быть отослан на сервер, контролируемый атакующим
Область действия эксплойта / число столкнувшихся с проблемой пользователей:
- По нашим сведениям, эксплойт был активен на протяжении от часа до двух
- На основании сообщений пользователей и нашего расследования этим вечером, мы зарегистрировали менее 100 заражённых аккаунтов; однако, из-за того, как устроены френд-ленты, эксплойт может быть более распространен
- В настоящее время, по нашим сведениям, количество затронутых пользователей ограничено - мы будем исследовать логи активности и другие данные с целью более точно определить масштаб существующей проблемы."
UPD Если была включена настройка "Использовать картинку-заменитель для видеофайлов", то эксплойт не должен был сработать без щелчка на заменителе, инфа отсюда: http://news.livejournal.com/117957.html?thread=79331269#t79331269
UPD 24.09 Официальные сообщения:
http://community.livejournal.com/lj_ru_support/569844.html
http://community.livejournal.com/lj_ru_support/569997.html
http://community.livejournal.com/lj_releases/49901.html
В настоящий момент вставка медиа-роликов доступна только с двух сайтов:
http://www.youtube.com/
http://video.rutube.ru/"
http://community.livejournal.com/lj_ru_support/569063.html
А в записи http://news.livejournal.com/117957.html раскрываются подробности насчёт того, как действовал эксплойт (на английском), и они, честно говоря, немного пугают. Скоро, наверное, появится официальный перевод, но переведу ключевую часть:
"Как распространялся эксплойт:
- Просмотр записи с заражённым медиа-контентом приводил к модификации последней записи аккаунта, с которого происходил просмотр, при помощи скрипта, который добавлял вредоносный код к этой записи.
Что делал этот эксплойт:
- Когда залогиненный пользователь просматривал заражённый пост, флэш-контент делал cross-domain запрос к livejournal.com
- Последний пост затем редактировался с целью добавления флэш-файлов, и все настройки сбрасывались на дефолтные (дефолтный юзерпик, нет настроения, и настройка доступа к записи менялась на дефолтную для журнала, например)
- Затем файл записывал e-mail адрес, указанный на странице "Изменить профиль" - то есть, он записывал e-mail адрес независимо от настроек приватности
- Пока эксплойт был активен (по нашим сведениям на настоящий момент, это продолжалось 1-2 часа), зараженные посты, которые редактировались владельцами журналов с целью привести их к первоначальному состоянию, возвращались обратно к заражённому состоянию (без возможности редактирования/изменения)
Чего *не делал* этот эксплойт:
- Он не воровал никаких паролей, не манипулировал или "воровал" login cookies и не записывал никакой информации кроме e-mail адреса
- Он был деактивирован в 8:50 p.m. PDT (22 сентября)/3:50 a.m. GMT/UTC (23 сентября), когда инженеры Livejournal отключили возможность вставки медиа-контента (такого как видео файлы) с целью прекратить распространение эксплойта
- Он не инфицировал компьютер и не наносил ему какой-либо ущерб
Как определить зараженную запись/аккаунт:
- У зараженных аккаунтов есть свежая запись со следующими четырьмя квадратиками внизу:
- Это будет одна из самых свежих записей журнала и/или самая верхняя запись (если это верхний пост задней датой)
- Если нет ни одной записи с указанной модификацией, значит, этот аккаунт не был заражён.
После исследования найденного Javascript кода, по нашему мнению, существуют две угрозы безопасности, потенциально возможных для заражённых журналов:
- В одной или более из наиболее свежих записей в журнале настройки доступа могут быть удалены; следовательно, пост с настройками доступа "друзья" или "только мне" может стать публичным, если дефолтный уровень доступа для журнала установлен как "для всех (общедоступный)"
- E-mail адрес (скрытый или нет), связанный с аккаунтом, может быть отослан на сервер, контролируемый атакующим
Область действия эксплойта / число столкнувшихся с проблемой пользователей:
- По нашим сведениям, эксплойт был активен на протяжении от часа до двух
- На основании сообщений пользователей и нашего расследования этим вечером, мы зарегистрировали менее 100 заражённых аккаунтов; однако, из-за того, как устроены френд-ленты, эксплойт может быть более распространен
- В настоящее время, по нашим сведениям, количество затронутых пользователей ограничено - мы будем исследовать логи активности и другие данные с целью более точно определить масштаб существующей проблемы."
UPD Если была включена настройка "Использовать картинку-заменитель для видеофайлов", то эксплойт не должен был сработать без щелчка на заменителе, инфа отсюда: http://news.livejournal.com/117957.html?thread=79331269#t79331269
UPD 24.09 Официальные сообщения:
http://community.livejournal.com/lj_ru_support/569844.html
http://community.livejournal.com/lj_ru_support/569997.html
http://community.livejournal.com/lj_releases/49901.html